none
Доступ к почте извне RRS feed

  • Вопрос

  • Коллеги,

    вопрос в следущем.

    Стандартная установка двух MS Exchange 2007 +SP1 Eng серверов (Один сервер с ролбью Edge в DMZ, второй во внутренней сети с остальными ролями).

    Как в таком случае настроить доступ из Интернет по тому же OWA (Outlook Assistant), т.е. необходимо настроить чтобы пользователь мог с любой страны заходить и читать свою почту? Везде читал что необходим в этом случае доступ к серверру с ролью HT, и также прочитал что при наличие Edge Server настройка невозможна (правда на тот момент была выпущена только Beta  - версия Exchange Server). Так ли это?  Если нет, то просьба кинуть ссылку или разъяснить поподробнее.

    Спасибо заранее!
    • Перемещено Hengzhe Li 12 марта 2012 г. 7:38 forum merge (От:Exchange Server 2007)
    4 февраля 2010 г. 2:43

Ответы

  • Теперь для уточнения хотел спросить. Как я понял, наличие или отсутствие Edge Server НИКАК не влияет на публикацию и, соответственно, доступ ко внутренней почте ивзне? 
    Именно так

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа osada 5 февраля 2010 г. 10:00
    4 февраля 2010 г. 12:28

  • При публикации OWA - ваша циска должна уметь аунтефицировать пользователей  из AD (kerberos, NTLM ), посмотрите внимательно
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    • Помечено в качестве ответа osada 11 февраля 2010 г. 12:11
    5 февраля 2010 г. 10:21
  • 1. Начинать с сервера во внутренней сети
    2. Все сертификаты останутся в силе, но Пограничника нужно будет переподписать
    • Помечено в качестве ответа osada 22 февраля 2010 г. 2:56
    19 февраля 2010 г. 7:29

Все ответы

  • Доступ нужен к серверу с ролью CAS. Т.к. у Вас "все в одном", то надо опубликовать внутренний сервер в и-нете. Нужен только 443 порт. 80 понадобится, если будете делать переадресацию с http://mail.domain.ru на https://mail.domain.ru
    MCSE:M 2003, MCITP:EA, EMA
    4 февраля 2010 г. 6:29
  • Стандартная установка двух MS Exchange 2007 +SP1 Eng серверов (Один сервер с ролбью Edge в DMZ, второй во внутренней сети с остальными ролями).

    Как в таком случае настроить доступ из Интернет по тому же OWA (Outlook Assistant), т.е. необходимо настроить чтобы пользователь мог с любой страны заходить и читать свою почту? Везде читал что необходим в этом случае доступ к серверру с ролью HT, и также прочитал что при наличие Edge Server настройка невозможна (правда на тот момент была выпущена только Beta  - версия Exchange Server). Так ли это?  Если нет, то просьба кинуть ссылку или разъяснить поподробнее.
    Я бы рекомендовал использовать сценарий с публикацией OWA на ISA сервере:

    http://www.microsoft.com/rus/technet/prodtechnol/isa/2006/deployment/exchange.mspx
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Предложено в качестве ответа dbm4ik 4 февраля 2010 г. 6:53
    4 февраля 2010 г. 6:38
  • Статья очень подробно расписывает данный вопрос, спасибо за ссылку.

    Теперь для уточнения хотел спросить. Как я понял, наличие или отсутствие Edge Server НИКАК не влияет на публикацию и, соответственно, доступ ко внутренней почте ивзне? 

    4 февраля 2010 г. 11:28
  • Другими словами, принцип открытия доступа извне при наличии Edge Server также идет обычно, т.е. согласно руководствам и стандартным процедурам?
    4 февраля 2010 г. 11:30
  • Теперь для уточнения хотел спросить. Как я понял, наличие или отсутствие Edge Server НИКАК не влияет на публикацию и, соответственно, доступ ко внутренней почте ивзне? 
    Именно так

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа osada 5 февраля 2010 г. 10:00
    4 февраля 2010 г. 12:28
  • Вот подробная статься как публиковать, что бы не  напортачить с сертификатами (а  это очень частый  вопрос в этом топике). Будьте внимательны, действуйте по  инструкции и все получится.

    http://www.isadocs.ru/articles/publishing-exchange-2007-owa-exchange-activesync-rpchttp-using-2006-isa-firewall-part1.html
    Там семь частей статьи

    При доступе по OWA, ActiveSync нужно публиковать  CAS сервер, в вашем случаееэти роли  на одном сервере. А на  EdgeTransport`e, нет этой роли.
    Данная реализация  подразумивает, что у вас  аутентификации и авторизацию будет проводить  пограничный Firewall (например ISA 2006 или TMG), который  завязан на учетные записи и Active Directory. Так что можете не беспокоиться за то, что вы открываете  доступ из вне во внутреннию сеть.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    4 февраля 2010 г. 17:33
  • Вот подробная статься как публиковать, что бы не  напортачить с сертификатами (а  это очень частый  вопрос в этом топике). Будьте внимательны, действуйте по  инструкции и все получится.

    http://www.isadocs.ru/articles/publishing-exchange-2007-owa-exchange-activesync-rpchttp-using-2006-isa-firewall-part1.html
    Там семь частей статьи

    При доступе по OWA, ActiveSync нужно публиковать  CAS сервер, в вашем случаееэти роли  на одном сервере. А на  EdgeTransport`e, нет этой роли.
    Данная реализация  подразумивает, что у вас  аутентификации и авторизацию будет проводить  пограничный Firewall (например ISA 2006 или TMG), который  завязан на учетные записи и Active Directory. Так что можете не беспокоиться за то, что вы открываете  доступ из вне во внутреннию сеть.
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    К сожалению, в качестве пограничного фаерволла используются Cisco ASA, т.е. как таковой MS ISA Server используется только в совершенно другой сети, которая поддерживается полностью отдельно (т.е., отдельный лес AD, домен и т.д.)

    За ссылку спасибо большое!



    5 февраля 2010 г. 9:58
  • Теперь для уточнения хотел спросить. Как я понял, наличие или отсутствие Edge Server НИКАК не влияет на публикацию и, соответственно, доступ ко внутренней почте ивзне? 
    Именно так

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".

    Вот этот ответ интересовал больше всего! Спасибо за разяъснение!
    5 февраля 2010 г. 9:59
  • И еще один вопрос.

    На данный момент установлен MS Exchange 2007 Eng +SP1 (сначала была установлена RTM Версия, затем апгрейд). В филиале также планируем установку Exchange 2007, но уже с SP2. При таком раскладе, когда в одном месте  работает только с SP1, а в другом с SP2 не будут ли какие-нибудь конфликты как с точки зрения авторизации AD, так и самой почтовой системы или еще что-то нибудь?

    5 февраля 2010 г. 10:14

  • При публикации OWA - ваша циска должна уметь аунтефицировать пользователей  из AD (kerberos, NTLM ), посмотрите внимательно
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    • Помечено в качестве ответа osada 11 февраля 2010 г. 12:11
    5 февраля 2010 г. 10:21
  • И еще один вопрос.

    На данный момент установлен MS Exchange 2007 Eng +SP1 (сначала была установлена RTM Версия, затем апгрейд). В филиале также планируем установку Exchange 2007, но уже с SP2. При таком раскладе, когда в одном месте  работает только с SP1, а в другом с SP2 не будут ли какие-нибудь конфликты как с точки зрения авторизации AD, так и самой почтовой системы или еще что-то нибудь?


    Microsoft рекомендует, чтобы все серверы Exchange были одной версии (включая SP, RU и пр.). Могут возникнуть проблемы с маршрутизацией почты и резервным копированием (особенно если используете механизм VSS).
    MCTS
    5 февраля 2010 г. 10:41
  • На данный момент установлен MS Exchange 2007 Eng +SP1 (сначала была установлена RTM Версия, затем апгрейд). В филиале также планируем установку Exchange 2007, но уже с SP2. При таком раскладе, когда в одном месте  работает только с SP1, а в другом с SP2 не будут ли какие-нибудь конфликты как с точки зрения авторизации AD, так и самой почтовой системы или еще что-то нибудь?
    Проблемы могут возникнуть с CAS сервером.
    Поэтому, если используете OWA - то сначала нужно будет обновить сервер с ролью CAS (первый сервер) - потом ставить второй сервер уже с SP2.

    Заметки о выпуске Microsoft Exchange Server 2007 Service Pack 2 (SP2):

    http://download.microsoft.com/download/7/6/6/766259B7-62B1-4D6F-8D7A-40CC65B0FFCC/RelNotes.htm

    Компьютеры с установленной ролью сервера почтовых ящиков рекомендуется обновлять после компьютеров, на которых установлены роли сервера клиентского доступа, сервера единой системы обмена сообщениями, транспортного сервера-концентратора и пограничного транспортного сервера. Обновите компьютеры в следующем порядке:

    1. серверы клиентского доступа;
    2. серверы единой системы обмена сообщениями;
    3. транспортные серверы-концентраторы;
    4. пограничные транспортные серверы;
    5. серверы почтовых ящиков.
    При обновлении серверов в указанном порядке можно избежать потенциальных перерывов в обслуживании.


    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".
    • Помечено в качестве ответа osada 12 февраля 2010 г. 6:46
    • Снята пометка об ответе osada 19 февраля 2010 г. 7:06
    5 февраля 2010 г. 11:22
  • На данный момент установлен MS Exchange 2007 Eng +SP1 (сначала была установлена RTM Версия, затем апгрейд). В филиале также планируем установку Exchange 2007, но уже с SP2. При таком раскладе, когда в одном месте  работает только с SP1, а в другом с SP2 не будут ли какие-нибудь конфликты как с точки зрения авторизации AD, так и самой почтовой системы или еще что-то нибудь?
    Проблемы могут возникнуть с CAS сервером.
    Поэтому, если используете OWA - то сначала нужно будет обновить сервер с ролью CAS (первый сервер) - потом ставить второй сервер уже с SP2.

    Заметки о выпуске Microsoft Exchange Server 2007 Service Pack 2 (SP2):

    http://download.microsoft.com/download/7/6/6/766259B7-62B1-4D6F-8D7A-40CC65B0FFCC/RelNotes.htm

    Компьютеры с установленной ролью сервера почтовых ящиков рекомендуется обновлять после компьютеров, на которых установлены роли сервера клиентского доступа, сервера единой системы обмена сообщениями, транспортного сервера-концентратора и пограничного транспортного сервера. Обновите компьютеры в следующем порядке:

    1. серверы клиентского доступа;
    2. серверы единой системы обмена сообщениями;
    3. транспортные серверы-концентраторы;
    4. пограничные транспортные серверы;
    5. серверы почтовых ящиков.
    При обновлении серверов в указанном порядке можно избежать потенциальных перерывов в обслуживании.


    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Так же, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение".

    В моем  случае кроме Edge роли, все остальные роли работают на едином физическом сервере. В этом случае надеюсь апгрейд пройдет гладко.
    11 февраля 2010 г. 13:14
    1. серверы клиентского доступа;
    2. серверы единой системы обмена сообщениями;
    3. транспортные серверы-концентраторы;
    4. пограничные транспортные серверы;
    5. серверы почтовых ящиков.

    Правильно ли я понимаю, раз у меня всего 2 физических сервера, то значит порядок обновления до SP 2 такой:

    1) Edge Server

    2) сервер со всеми остальными ролями.

    При этом не возникнут ли проблемы с сертификатом между Edge и другим сервером?

    15 февраля 2010 г. 7:53
  • Завтра необходимо сделать upgrade на SP2, поэтому большая просьба ответить на вышезадаваемые эти вопросы: 

    1) При наличии только 2 физических Exchange Server-ов (Edge и все остальные роли на другом сервере) все-таки с какого сервера начинать обновление?


    2) Послеобновления не возникнут ли проблемы с сертификатом между Edge и другим сервером?

    Спасибо заранее!!!
    19 февраля 2010 г. 7:08
  • 1. Начинать с сервера во внутренней сети
    2. Все сертификаты останутся в силе, но Пограничника нужно будет переподписать
    • Помечено в качестве ответа osada 22 февраля 2010 г. 2:56
    19 февраля 2010 г. 7:29
  • Обновление прошло со скрипом, но в конечном итоге нормально.

    Началось с того, что в период обновления не смог стартоваться автоматически сервис "Microsoft Exchange Active Directory Topology Service", пришлось запускать вручную. Ну и неколько еще  проблемок.

    Кстати, Edge не переподписывал, не оказалось необходимости.


    Всем спасибо! 

    22 февраля 2010 г. 2:56