Exchange Server 2013 高可用部署系列（五）外網(wǎng)訪問與證書設(shè)置

Exchange Server 2013默認部署好后不需要任何配置就可以進行內(nèi)部收發(fā)郵件，但要進行外部訪問和收發(fā)外網(wǎng)郵件，需要進行一系列的配置，本篇博文來介紹外網(wǎng)訪問和證書配置：

一、外部DNS配置：

A記錄： ?mail.contoso.com（Web訪問），autodiscover.contoso.com（自動發(fā)現(xiàn)）

MX記錄：contoso.com ? —> 目標主機：mail.contoso.com

二、端口發(fā)布：

需要發(fā)布以下端口：?143, 443, 993,995,?25, 587

三、創(chuàng)建發(fā)送連接器：

四、配置外部訪問地址：

1、登陸后臺管理ECP界面，選擇“服務(wù)器 —>虛擬目錄”，選擇每臺服務(wù)器的owa目錄，如下圖所示：

2、點擊編輯進入以下界面，填寫OWA虛擬目錄的外部URL：https://mail.contoso.com/owa

3、提示：更改OWA的同時需要對后臺管理ECP進行更改！

4、選擇ECP，雙擊進入編輯界面，

5、填寫ECP虛擬目錄中的外部URL：https://mail.contoso.com/ecp

6、同樣在另一臺前端Mail2.contoso.com上分別編輯OWA和ECP虛擬目錄的外部URL，

7、OWA的外部URL：https://mail.contoso.com/owa，

8、ECP的外部URL：https://mail.contoso.com/ecp，

五、開啟outlook anywhere

1、在服務(wù)器界面，選中一臺服務(wù)器，點擊編輯，如下圖：

2、在“outlook anywhere”選項卡中，填寫外部主機名：mail.contoso.com，身份驗證方法為：“基本”，如下圖：

3、同樣選中另一臺服務(wù)器，點擊編輯，如下圖：

4、在“outlook anywhere”選項卡中，填寫外部主機名：mail.contoso.com，身份驗證方法為：“基本”，如下圖：

5、為outlook anywhere配置IIS身份驗證。在任意一臺前端服務(wù)器上打開EMS，執(zhí)行以下命令：

?

Set-OutlookAnywhere"\RPC (Default Web Site)"-IISAuthenticationMethods Basic, Ntlm, Negotiate

其中"Client Access server name"為你的前端服務(wù)器名稱，這里兩臺前端分別是：EX、Mail2，如下圖：

六、配置證書：

第一步，在ECP界面生成證書請求文件：

1、在“服務(wù)器 —>證書”界面，選擇一臺服務(wù)器，點擊“+”來添加證書申請，如下圖：

2、默認下一步，

3、填寫證書的友好名稱，如下圖：

4、默認下一步，

5、選擇存儲證書的服務(wù)器，如下圖：

6、填寫外部訪問（從Internet訪問時）的域名為：mail.contoso.com，自動發(fā)現(xiàn)為默認的：autodiscover.contoso.com，

POP或IMAP只填主機名（不加后綴）：mail，可以添加多個，用“，”號隔開，如下圖：

7、在以下界面，添加所有在內(nèi)外網(wǎng)要用到的域名或主機名，如果有多域名或二級域名，在這里都要添加，如下圖：

8、填寫組織信息，如下圖：

9、填寫證書請求保存的共享路徑，這里選擇mail2上的cert共享文件夾下，如下圖：

注：如無法保存，請賦予共享文件夾的"everyone"讀寫權(quán)限。

10、證書申請完成，狀態(tài)為“擱置的請求”，如下圖：

第二步，向CA證書服務(wù)器申請證書并獲取證書文件：

1、在mail2服務(wù)器上，登陸到CA證書服務(wù)器的申請證書界面：http://adds.contoso.com/certsrv，如下圖：

2、進入證書服務(wù)頁面，點擊“申請證書”，如下圖：

3、選擇“高級證書申請”，如下圖：

4、選擇“使用base64編輯的CMC...”，如下圖：

5、用“記事本”打開共享文件夾下創(chuàng)建的證書請求文件，復(fù)制全部內(nèi)容，如下圖：

6、將證書請求文件的內(nèi)容粘貼到以下申請文本框中，并選擇證書模板為：“Web服務(wù)器”，再點擊“提交”，如下圖：

7、證書已頒發(fā)！選擇“下載證書”，保存證書文件到共享文件夾中，如下圖：

8、頒發(fā)的證書如下所示：

第三步，在ECP界面中導(dǎo)入已頒發(fā)的證書文件：

1、打開ECP證書界面，選中申請的證書，點擊右下角狀態(tài)下的“完成”，如下圖：

2、輸入已頒發(fā)的證書路徑，點擊“確定”，如下圖：

3、完成擱置的請求，此時證書狀態(tài)為：“有效”，如下圖所示：

4、完成證書后默認所分配的服務(wù)只有：IMAP，POP，還需要分配其它服務(wù)，點擊“編輯”，如下圖：

5、勾選“SMTP”和“IIS”，這兩項為必須，其它“UM”和“UM呼叫路由器”為統(tǒng)一消息配置所需，以后有機會再介紹，這里不勾選，然后點擊“保存”，如下圖：

6、替換舊有默認的證書，選擇“是”，如下圖：

7、已分配服務(wù)如下：IMAP、POP、IIS、SMTP，到此證書配置已全部完成！

本篇博文實現(xiàn)了外網(wǎng)Web訪問和郵件收發(fā)，并且證書已經(jīng)配置，只要把CA中的根證書導(dǎo)入到各個客戶端的“受信任的根證書頒發(fā)機構(gòu)”中，及可實現(xiàn)認證訪問！

另外，若要配置各客戶端登陸Exchange 2013，請參照“Exchange”欄目下的其他關(guān)于客戶端配置Exchange2013郵箱帳號的博文！