《软件》杂志前几期已经刊登了许多关于Exchange 2000 Server各个功能组件的优秀文章,相信大家对Exchange 2000中企业中所扮演的重要角色已经有相当的了解。的确,Microsoft Exchange 2000目前在Windows平台上是最好的消息、协作平台,与Windows 2000 Active Directory的紧密集成,不但降低了Exchange 2000这个企业级软件在部署成本,而且充分利用了操作系统本身提供的安全性,如果您已经在企业中成功的部署Exchange 2000,想必您已经为Exchange 2000与Windows 2000的集成管理方式所折服。本文旨在讲述Exchange 2000中一个非常重要的特性:Exchange Front-End and Back-End(Exchange 前后端技术,以下简称为F/B),F/B构架是在Exchange 2000中第一次被引入,以往任何一个Exchange版本都不具备该功能。
1、什么是Exchange 2000的前后端技术
Exchange 2000中的Front-End and Back-End,正如他名字的隐含的意义一样,是为解决企业中大量用户信箱过度集中于单台计算机上而采用的一种全新的Exchange部署方案。在传统方式上,用户信箱都放置在一台服务器上,随着用户数量的增加,服务器的响应越来越慢。如果您试图将用户信箱移动到其他Exchange计算机上,您同时也必须通知被移动的用户,让他/她更改邮件接收服务器(Outlook 2000/2002用户不需要被通知,Outlook具有自动转向功能,信箱被移动后,当下一次启动Outlook时,将自动连接到新的服务器),这对于具有大量用户的企业来说,势必造成管理上的困难,用户也因此会抱怨他们的信箱是如此的不可靠。为此,Microsoft Exchange 2000中F/B构架解决了一直困绕Exchange管理员的难题。Front-End(前端)服务器承担响应用户请求的职责,他将充当代理的功能,自动定位到用户的信箱(下文将详细描述如何定位用户请求数据的过程),然后将数据返回给用户,他本身不再存储任何用户数据。Back-End(后端)服务器从功能上讲,负责放置用户数据,他只是一台普通的Exchange计算机,通常情况下,无须特殊配置。因此,在Exchange 2000的F/B构架中,前端服务器扮演着重要角色。
2、为什么要使用Exchange 2000中的前后端技术
Exchange 2000 F/B构架是针对使用多台Exchange计算,具有大量POP3,IMAP4,OWA(Exchange Outlook Web Access)用户的企业而设计。也就是说,Outlook 2000/2002用户将不能享受F/B技术所带来的优点,他仍然使用传统的RPC方式直接连接到Exchange服务器。使用Exchange F/B部署方式,对您的消息系统将获得如下优点:
1)单一名字空间
原则上,当您将POP3/IMAP4/OWA用户数据移动到其他Exchange计算机后,用户对邮件的访问必须采用不同的IP地址或者不同的域名来访问。在Internet环境下,这种现象是不现实的,因为您必须为每台Exchange计算机配置一个Internet域名,这样外部用户才可以访问到被移动后的数据。采用Exchange F/B构架,用户对数据的访问是透明的,不需要确切地知道自己的数据被放置在哪一台Exchange计算机上,而是仅需要连接到一台计算机àExchange前端服务器,然后由前端服务器通过LDAP协议来访问Windows 2000 Domain中的GC(Global Catalog,全局目录服务器)[注释1],得到用户数据所在服务器的名称。然后前端服务器扮演为“代理”的角色,从后端服务器中取得数据,再返回给用户。因此,不论您有多少台Exchange计算机,仅需要提供给用户一个指向Exchange前端服务器的域名,不但减少了Exchange 管理员在管理上的复杂性,而且用户也会为此感到高兴。
[注释1]关于这一点,是个非常巧妙的设计。大家都知道,GC包括了它所在森林中每个域中每个用户的简要信息。Exchange在安装时,会扩展AD Schema,而且将与用户信箱相关的查询信息复制到了GC。关于对Schema复制的修改,可以参考ADSIEdit程序的相关文档,但系统默认的复制已经足够,过多或者过少的复制将导致系统故障。
2)服务器负载平衡
对于服务器的负载平衡,主要体现有二点。首先,可以对用户数据存放实现负载平衡,根据不同配置的服务器,您可以放置不同容量的数据,减轻服务器过载的现象,提高对用户的响应能力。其次,如果您的Exchange访问是基于SSL的,可以实现在加密/解密过程所带来的平衡能力,因为Exchange前端服务器可以实现所有的加密/解密过程。
3)增加的公用文件夹访问能力
Exchange公用文件夹(Public Folder)的管理,一直以来是Exchange管理上的一个难点。为确保用户访问到一致的公用文件夹,管理员必须配置公用文件夹的复制,而且Exchange公用文件夹的复制仅对当前文件夹,子文件夹不会自动继承父级文件夹的复制参数,因此造成Exchange公用文件夹管理上的复杂性。
默认情况下,当一个IMAP客户访问公用文件夹时,如果所请求的数据并不在他所连接的服务器上时,数据的返回过程将失败,除非客户端程序支持一种称为“交叉引用”的特性。而在Exchange F/B构架中,Exchange前端服务器将同时充当一台支持“交叉引用”的客户计算机,即使不支持“交叉引用”的客户访问公用文件夹时,用户仍然可以成功地访问位于后端服务器中公用文件夹数据,前端服务器将扮演为客户机的角色去访问位于不同Exchange计算机上的公用文件夹,这在传统的Exchange部署方式中是不具备的,同时,减少了Exchange管理员对公用文件夹复制管理的复杂性。
4)更高的安全性
采用Exchange F/B构架之后,因为用户数据不再存储在前端服务器,进一步地增强了Exchange环境的安全性。关于安全性,在下文中还有更多的讲述。
3、Exchange 2000 F/B的工作方式
Exchange 2000不但集成于Windows 2000目录服务,而且集成于IIS 5.0。Exchange 2000在活动目录中储存大部分配置信息,而需要被IIS支持的部分,存储在IIS的元数据库(Metadata)中。Exchange通过System Attendant服务在指定的时间内定期地在两者之间复制相关的配置信息。而访问这些配置信息的一个重要组件就是DSAccess。DSAccess可以动态地检测到被请求数据所在的服务器名称[注释2],然后,通过标准的HTTP方法获得数据,并且返回给用户,因此,也可以说,DSAccess在F/B构架中是一个非常关键的组件,不正确的DSAccess配置将导致Exchange前端服务器无法连接正确的后端服务器,尤其是在DMZ网络环境中。
当用户连接到前端服务器请求数据时,需要进行身份验证,而不同的客户类型,前端服务器又将采用不同的验证方式来验证用户。身份验证即可以在前端服务器进行,也可以在后端服务器上进行,或者两个服务器都进行验证(双重验证)。在典型的双重验证方式中,前/后端服务器均被配置为HTTP明文验证[注释3]方式。由于Exchange依赖IIS来实现HTTP验证,而IIS使用RPC连接到目标服务器进行验证,因此,当前端服务器的RPC不能连接到目标服务器时(如DMZ网络环境中),您可以使用Pass-through验证方式,而且也仅在这种情况下使用Pass-through方式,因为Pass-through启用后,由于对前后服务器是匿名连接,因此无法通过前端服务器实现公用文件夹访问的负载平衡,而且OWA中的隐式登录也不再被支持,每个访问者必须提供一个包括用户名的完整URL来进行访问(见下文的OWA访问部分)。当您的验证请求仅在前端服务器上进行时,用户访问Exchange计算机必须输入domain\username格式来响应系统的验证请求。因此,不论是从系统的安全性角度,还是对用户的可用性角度,双重身份验证是被推荐的验证方式。下面我们来看一下不同的客户类型在不同的验证方式下的工作情况。
OWA客户:前端服务器接受到请求后,通过全局目录服务器检测被请求用户信箱所在服务器,然后,根据已经配置的身份验证方式,请求用户登录。用户可以输入http://server/exchange/username显式登录(Explicit Logon)到Exchange计算机,这是当前端服务器不需要身份验证时所使用的方式。在这种方式下,由于前端服务器无法判断用户的有效性,因此,无法实现公用文件夹访问的负载平衡。如果用户只是简单地输入http://server/exchange而忽略用户名,这只有被配置为双重验证时才可以正常工作,即所谓的隐式登录(Implicit Logon)。隐式登录对OWA客户是特别有用的一种登录方式,可以实现F/B构架中用户对信箱与公用文件夹访问的所有功能。但对于HTTP客户[注释4],不支持使用隐式登录。
POP3/IMAP4客户:与OWA客户不同,不论您的验证方式是如何配置的,POP3/IMAP4客户直接在前端服务器上被验证,然后前端服务器再将用户信息发送到后端服务器,被验证后,客户计算机再通过前端服务器进行发送与接收。
在Exchange F/B构架中,一个很重要的部分是SMTP服务器的位置。SMTP可以位于任意一台Exchange计算机上,但如果您要为POP3/IMAP4客户提供发送功能,您的SMTP服务器应该位于前端服务器上[注释5],为此,必须在您的前端服务器上运行Exchange Information Store服务[注释6],因为SMTP需要为未提交的邮件发送NDR报告给邮件的发送人,出于安全因素,您同样需要正确配置SMTP Relay。
[注释2]在Exchange SP2之前版本的DSAccess组件,使用RPC连接到活动目录,而SP2以后版本的DSAccess,使用标准的LDAP方法来访问活动目录。如果您的前端服务器放置在DMZ环境中,即使在安装SP2后,仍然需要特殊的配置,详见相关链接。
[注释3]由于前端服务器不支持Windows集成验证方式及HTTP 1.1 Digest验证方式,尽管后端服务器可以被配置为Windows集成验证,但在双重验证中,只能被配置为明文验证。因此,为确保用户名与密码在传输过程中的安全,请考虑使用SSL连接。
[注释4]HTTP客户是指通过HTTP服务器来发送/接收邮件的客户类型,OWA虽然使用标准的HTTP来访问Exchange,但它不是HTTP客户。通过Outlook Express或者Outlook中HTTP方式访问Exchange的客户类型,才是HTTP客户。
[注释5]如果您的防火墙支持地址映射,如ISA Server,那么您在支持POP3/IMAP4用户发送邮件的同时,仍然可以将SMTP服务器放置在其他Exchange计算机上。笔者的实现方法就是这样的。您也可以通过其他方式为POP3/IMAP4用户提供SMTP服务器。
[注释6]尽管前端服务器上在运行IS服务,这只是为SMTP提供服务,请勿在前端服务器上存储用户信箱。
4、设计一个典型的Exchange 2000前后端构架
图1显示的是一幅典型的Exchange 2000 F/B构架图,接下来,我们就以图1网络拓扑为例,探讨一下Exchange F/B构架的配置
