none
Exchange 2013 - исключить подключение пользователей к отдельному тестовому CAS RRS feed

  • Вопрос

  • Добрый день. В организации развернут Exchange 2013 + Exchange 2010. Всё отлично работает, что хочу: Хочу поднять тестовый сервер клиентского доступа, чтобы пользователи к нему не подключались через автообнаружение. Т.е. в тестовой среде если я указываю подключаться через этот сервер - только тогда чтоб клиент использовал этот CAS. В остальных случаях (обычные пользователи) - пусть используют рабочие сервера (это два CAS-сервера в NLB-кластере)

    Вообще для чего это надо - на этом тестовом сервере хочу поэксперементировать с различными методами аутентификации (SAML ADFS..), буду его перегружать, настраивать. Рабочим пользователям через такой сервер подключаться не стоит.

    27 августа 2015 г. 9:13

Все ответы

  • У вас выделенное доменное имя для кластера NLB? Виртуальные каталоги серверов сконфигурированы на использование этого имени? В таком случае просто не изменяйте параметры Internal URL (и Hostname в OutlookAnywhere) и клиенты не будут стучаться на этот сервер. Однако транспорт все равно будет ходить через него в некоторых случаях.

    Do not multiply entities beyond what is necessary

    27 августа 2015 г. 9:28
  • Да - выделенное имя для NLB-кластера. Виртуальные каталоги сконфигурированы на это имя.

    Так мне на тестовом сервере в смысле надо в именах прописать имя NLB-кластера? Но для тестов то мне нужно использовать будет как раз-таки отдельное имя для этого тестового сервера, которое в его виртуальных каталогах и должно быть прописано. Путанно помоему написал - но надеюсь мысль понятна)

    Кстати в имени OutlookAnywhere я и так прописал имя NLB-кластера.

    Да и в случае автообнаружения это разве поможет? На одном клиенте запустил средство проверки автоконфигурации почты. По логам увидел, что полез как раз таки на тестовый сервер. И в итоге получается, что если я что-то не так настрою на тестовом сервере - то могут возникнуть ошибки у части пользователей при автоконфигурации.

    27 августа 2015 г. 10:22
  • нет, как раз на тестовом сервере оставить все, как было по умолчанию, то есть все URL должны содержать имя этого сервера, а не кластера.

    Ошибок в любом случае не должно быть, так как серверы клиентского доступа просто проксируют подключения на серверы почтовых ящиков.

    Вы в кластер новый сервер не включали случайно?


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 27 августа 2015 г. 10:42
    27 августа 2015 г. 10:41
  • Хочу еще немного дополнить совет Дмитрия. Вынесите этот CAS в отдельный сайт. Доменные пользователи из другого сайта к нему подключаться не будут.
    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 27 августа 2015 г. 12:40
    • Отменено предложение в качестве ответа Anikin Alexander 31 августа 2015 г. 9:34
    27 августа 2015 г. 10:52
  • согласен, тоже вариант.

    Do not multiply entities beyond what is necessary

    27 августа 2015 г. 10:56
  • Насчет URLов в виртуальных каталогах и OA - понял. И да - CAS всё используется как прокси к mailbox-серверам, но я имел в виду, что могут быть косяки - если сертификаты не верно настроены, методы аутентификации к этому CAS-серверу. Поэтому хотелось чтоб рабочие пользователи вообще никак через него не подключались.

    Поэтому идея с сайтом мне нравится. Смысл понятен - реализация нет) Сайты не добавлял никогда - в организации один большой домен с одним сайтом. Имеется в виду ж сайт Active DIrectory? Т.е. мне надо добавить сайт, а потом этот тестовый сервер выкинуть в этот сайт?

    27 августа 2015 г. 12:12
  • Да, все верно. Это сайт Active Directory. Создается через стандартную оснастку, и в него переносится ваш тестовый CAS.
    27 августа 2015 г. 12:18
  • Почитал доки - поправьте если что не так. Создаю сайт. Создаю подсеть - связываю её с этим сайтом. Добавляю контроллер домена и тестовый Exchange-CAS в этот сайт. Далее пользователь, который заходит в домен из той подсети, которую мы связали с новым сайтом - будет подключаться к этому сайту AD? И заодно к тестовому серверу CAS?)
    27 августа 2015 г. 12:45
  • Да, совершенно верно. Только учтите, что межсайтовая репликация AD выполняется не постоянно, а с заданным интервалом (обычно 180 минут) и любые изменения в конфигурации организации Exchange (те, что хранятся не на сервере, а в службе каталогов) будут распространятся только после репликации.

    Do not multiply entities beyond what is necessary

    28 августа 2015 г. 4:37
  • Хорошо - попробую. Вообще вчера начал пробовать - создал для начала подсеть и новый сайт. Связал сайт с подсетью и ушел спать) В итоге сегодня с утра часть клиентов не могли зайти в Outlook. Быстро удалил с AD этот новый сайт и подсеть. Как выяснилось - все мои существующие Exchange-сервера похоже перестали понимать где они находятся.

    Текст ошибки 1093 (с боевого сервера):

    The local server is not assigned to any site. This can be caused by incorrect configuration of subnets or sites or by replication latency. AD Topology Information won't be available until this issue is resolved.

    В итоге получается, что Exchange-сервера ещё как-то сами могут конфигурироваться для определения сайта? В итоге, чтобы мне в дальнейшем добавить тестовый CAS в новый сайт - надо на этом сервере воспользоватсья командлетом set-adsite - принудительно задав нужный мне сайт?





    28 августа 2015 г. 7:09
  • Разбирался тут немного - командлет set-adsite не нужен. Топология строится серверами Exchange автоматически. В итоге что я сделал - создал новый сайт в AD, связал с ним подсеть. В этой подсети добавил новый контроллер домена, CAS-сервер и тестовую рабочую станцию.

    На этом тестовом CAS-сервере в логах отобразилось, что Exchange увидел новую топологию в сети:

    Process Microsoft.Exchange.Directory.TopologyService.exe (PID=2076). Exchange Active Directory Provider has discovered the following servers with the following characteristics:       
    In-site:
    testAD.domain.local
    Out-of-site:
    AD01.domain.local
    AD02.domain.local

    Перегрузил тестовый CAS, рабочую станцию - команда set logonsesrver отображает, что подключаюсь к контроллеру домена в тестовом сайте. Но к Exchange'у пользователь подключается всё равно через боевые CAS-сервера - через NLB-имя, а не через тестовый сервер.

    Так что пока не сработала схема с выносом тестового CAS в другой сайт. Какие идеи могут быть?


    31 августа 2015 г. 9:23
  • Эксперементирую дальше. На тестовом сервере Exchange добавил роль почтовых ящиков, создал там базу данных и добавил тестового пользователя в эту базу. В итоге если захожу под этим пользователем в Outlook - то подключение устанавливается через тестовый сервер Exchange, т.е. через тот, на котором крутится база в которой этот пользователь. Но у меня есть подозрение, что такое поведение было бы и без добавления сервера в отельный сайт.

    В любом случае я продолжаю наблюдать, что часть пользователей - из основного рабочего сайта AD, периодически подключаются через этот тестовый сервер Exchange. Конкретно нашел одного пользователя, у которого в Outlook'е в консоле диагностики подключений отображалось, что он подключен через тестовый сервер. В итоге если я этот сервер буду перегружать - Outlook у пользователя потеряет подключение и будет запрошен пароль, а это не хорошо.

    Итак - как всё таки создать тестовый CAS, чтобы через него автоматом не проксировались пользователи? 

    1 сентября 2015 г. 4:04
  • Так вы тестовый сервер в кластер NLB все же включили, или нет?

    Do not multiply entities beyond what is necessary

    1 сентября 2015 г. 5:45