我们前面文章中有介绍到Exchange2016高可用性的部署,所以关于Exchange2016相关的服务配置就不多介绍了,今天呢主要介绍如何使用TMG将Exchange2016相关服务发布到外网,首先呢,我们回顾一下环境:
需要声明的是,Exchange2016高可用性的搭建相比Exchange2013或者更早的版本已经有了很大的变化,对于高可用的发布,微软建议使用硬件F5类似的产品或者智能DNS来搭建。所以对于很企业来说又是一个花销。但是我已找到了好的解决方法后续的文章中会介绍到,记得关注哦。
同样Office2016开始,outlook配置exchange邮箱已经不提高手动配置服务邮箱了,因为已经隐藏了手动配置服务器的选项,只能通过autodiscover的方法进行自动发现及配置了。以下为介绍图
Domainname:Iternalsoft.com
Hostname:Iternal-dc
Ip:10.10.1.254
Role:DC、CA、DAG见证服务
Hostname:Ex2016-01
Ip:10.10.1.11
Role:Exchange2016
Hostname:Ex2016-02
Ip:10.10.1.12
Role:Exchange2016
Hostname:Iternal-TMG
Ip:10.10.1.1
Role:TMG(Gateway)
DAG:10.10.1.10
我们在内部可以使用DAG的虚拟ip进行访问ecp、owa等服务
证书申请步骤就不多介绍了,我们前面的文章也有介绍到的,其实证书步骤跟exchange2013完全一样
设置到处路径及密码
这样我们可以到处exchange2016的服务证书,然后将导出的证书拷贝到TMG服务器,然后使用MMC打开控制台,将证书导入到个人证书目录下
导入后,我们就可以创建TMG策略来发布Exchange相关服务了,我们单机防火墙策略----新建---邮件服务器发布规则
定义规则名称后,我们需要发布以下所有服务。
注意:需要创建两条策略来发布邮件服务器的客户端访问记服务器到服务器的通讯
勾选所有客户端访问角色服务协议
定义服务器ip,该ip是服务器内部的ip
定义到外网ip
客户端访问服务规则定义完成
接下来同样按照上面的方法定义服务器到服务器之间的通讯
勾选需要发布的服务,在此我全部勾选了
选择内部服务器
同样选择到外网
服务器到服务器之间的通讯服务发布完成
到这一步我们还需要最后一个关键的个操作,就是需要在外部定义MX记录及外网访问的域名定义;
如果在外部域名不做MX记录解析的话,我们内部的用户只能给外部用户邮箱发送邮件,而外部的用户无法发送给内部用户,所以我们定义域名的MX记录解析
定义好域名后,我们就可以尝试内部外部互相发送测试邮件了
我们先在内部给外部用户发送测试邮件
发送邮件后,我们在外部邮箱查收一下,最后我们发现有退信,原因是对方的服务器拒绝我们发送的邮件,所以我们尝试给其他外部邮箱发送邮件
该 原因是由于对方设置了SPF,我们的邮件域名不再对方的白名单里面,所以发送失败
接着我们为了测试真实,我们使用126邮箱给我的iternalsoft.com的域用户发送测试邮件
我们查看邮件收到了
最后我们使用TMG发布Exchange2016服务器的owa、activesync、outlookanywhere,这样可以在外部使用web登录邮箱,也可以使用手机及outloo收发邮件了,
发布规则----新建---Exchange web客户端访问发布规则
我们首先发布owa,定义名称;因为我们知道TMG从2010就没更新了,微软就放弃了改产品,所以在选择Exchange版本的时候只有2010版本,所以我们选择Exchnage2010发布即可
发布单个网站或者负载均衡
因为我们已经导入了Exchange导出的证书,所以我们选择使用ssl
我们从内部访问的地址为服务器的内部地址,所以我们需要根据内部的访问地址来填写
然后定义从外部访问的域名信息
然后新建侦听器,同样适用ssl安全链接
然后选择证书
身份认证模式,选择---没有身份验证即可
然后单机创建可,然后选择该新建的侦听器
选择身份验证委派----无委派,但是客户端可以直接进行身份验证
最终发布owa完成,然后我们在外部测试可以成功登陆
接下来我们使用同样的方法发布activesync、outlookanywhere
后续的步骤跟owa一样,只是在新建侦听器那选择owa的创建的侦听器即可
最后我们发布outlookanywhere,方法同上
最终我们的所有的exchange服务就发布完成了
最后再说一下, 如果在tmg发布owa、outlookanywhere、activesync的时候填写内部的dag虚拟地址的话是无法访问的,就比如是owa来说,会在外网访问提示以下错误,对于该错误微软给出的解释是虚拟ip是无法发布的。对于该问题我已找到了好的解决方法,后期会更新请关注哦
本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1708612,如需转载请自行联系原作者