Exchange 2000中的前后端技术

   《软件》杂志前几期已经刊登了许多关于Exchange 2000 Server各个功能组件的优秀文章，相信大家对Exchange 2000中企业中所扮演的重要角色已经有相当的了解。的确，Microsoft Exchange 2000目前在Windows平台上是最好的消息、协作平台，与Windows 2000 Active Directory的紧密集成，不但降低了Exchange 2000这个企业级软件在部署成本，而且充分利用了操作系统本身提供的安全性，如果您已经在企业中成功的部署Exchange 2000，想必您已经为Exchange 2000与Windows 2000的集成管理方式所折服。本文旨在讲述Exchange 2000中一个非常重要的特性：Exchange Front-End and Back-End（Exchange 前后端技术，以下简称为F/B），F/B构架是在Exchange 2000中第一次被引入，以往任何一个Exchange版本都不具备该功能。

1、什么是Exchange 2000的前后端技术
Exchange 2000中的Front-End and Back-End，正如他名字的隐含的意义一样，是为解决企业中大量用户信箱过度集中于单台计算机上而采用的一种全新的Exchange部署方案。在传统方式上，用户信箱都放置在一台服务器上，随着用户数量的增加，服务器的响应越来越慢。如果您试图将用户信箱移动到其他Exchange计算机上，您同时也必须通知被移动的用户，让他/她更改邮件接收服务器（Outlook 2000/2002用户不需要被通知，Outlook具有自动转向功能，信箱被移动后，当下一次启动Outlook时，将自动连接到新的服务器），这对于具有大量用户的企业来说，势必造成管理上的困难，用户也因此会抱怨他们的信箱是如此的不可靠。为此，Microsoft Exchange 2000中F/B构架解决了一直困绕Exchange管理员的难题。Front-End（前端）服务器承担响应用户请求的职责，他将充当代理的功能，自动定位到用户的信箱（下文将详细描述如何定位用户请求数据的过程），然后将数据返回给用户，他本身不再存储任何用户数据。Back-End（后端）服务器从功能上讲，负责放置用户数据，他只是一台普通的Exchange计算机，通常情况下，无须特殊配置。因此，在Exchange 2000的F/B构架中，前端服务器扮演着重要角色。
2、为什么要使用Exchange 2000中的前后端技术
Exchange 2000 F/B构架是针对使用多台Exchange计算，具有大量POP3，IMAP4，OWA（Exchange Outlook Web Access）用户的企业而设计。也就是说，Outlook 2000/2002用户将不能享受F/B技术所带来的优点，他仍然使用传统的RPC方式直接连接到Exchange服务器。使用Exchange F/B部署方式，对您的消息系统将获得如下优点：
1）单一名字空间
原则上，当您将POP3/IMAP4/OWA用户数据移动到其他Exchange计算机后，用户对邮件的访问必须采用不同的IP地址或者不同的域名来访问。在Internet环境下，这种现象是不现实的，因为您必须为每台Exchange计算机配置一个Internet域名，这样外部用户才可以访问到被移动后的数据。采用Exchange F/B构架，用户对数据的访问是透明的，不需要确切地知道自己的数据被放置在哪一台Exchange计算机上，而是仅需要连接到一台计算机àExchange前端服务器，然后由前端服务器通过LDAP协议来访问Windows 2000 Domain中的GC（Global Catalog，全局目录服务器）[注释1]，得到用户数据所在服务器的名称。然后前端服务器扮演为“代理”的角色，从后端服务器中取得数据，再返回给用户。因此，不论您有多少台Exchange计算机，仅需要提供给用户一个指向Exchange前端服务器的域名，不但减少了Exchange 管理员在管理上的复杂性，而且用户也会为此感到高兴。
[注释1]关于这一点，是个非常巧妙的设计。大家都知道，GC包括了它所在森林中每个域中每个用户的简要信息。Exchange在安装时，会扩展AD Schema，而且将与用户信箱相关的查询信息复制到了GC。关于对Schema复制的修改，可以参考ADSIEdit程序的相关文档，但系统默认的复制已经足够，过多或者过少的复制将导致系统故障。
2）服务器负载平衡
对于服务器的负载平衡，主要体现有二点。首先，可以对用户数据存放实现负载平衡，根据不同配置的服务器，您可以放置不同容量的数据，减轻服务器过载的现象，提高对用户的响应能力。其次，如果您的Exchange访问是基于SSL的，可以实现在加密/解密过程所带来的平衡能力，因为Exchange前端服务器可以实现所有的加密/解密过程。
3）增加的公用文件夹访问能力
Exchange公用文件夹（Public Folder）的管理，一直以来是Exchange管理上的一个难点。为确保用户访问到一致的公用文件夹，管理员必须配置公用文件夹的复制，而且Exchange公用文件夹的复制仅对当前文件夹，子文件夹不会自动继承父级文件夹的复制参数，因此造成Exchange公用文件夹管理上的复杂性。
默认情况下，当一个IMAP客户访问公用文件夹时，如果所请求的数据并不在他所连接的服务器上时，数据的返回过程将失败，除非客户端程序支持一种称为“交叉引用”的特性。而在Exchange F/B构架中，Exchange前端服务器将同时充当一台支持“交叉引用”的客户计算机，即使不支持“交叉引用”的客户访问公用文件夹时，用户仍然可以成功地访问位于后端服务器中公用文件夹数据，前端服务器将扮演为客户机的角色去访问位于不同Exchange计算机上的公用文件夹，这在传统的Exchange部署方式中是不具备的，同时，减少了Exchange管理员对公用文件夹复制管理的复杂性。
4）更高的安全性
采用Exchange F/B构架之后，因为用户数据不再存储在前端服务器，进一步地增强了Exchange环境的安全性。关于安全性，在下文中还有更多的讲述。

3、Exchange 2000 F/B的工作方式
Exchange 2000不但集成于Windows 2000目录服务，而且集成于IIS 5.0。Exchange 2000在活动目录中储存大部分配置信息，而需要被IIS支持的部分，存储在IIS的元数据库（Metadata）中。Exchange通过System Attendant服务在指定的时间内定期地在两者之间复制相关的配置信息。而访问这些配置信息的一个重要组件就是DSAccess。DSAccess可以动态地检测到被请求数据所在的服务器名称[注释2]，然后，通过标准的HTTP方法获得数据，并且返回给用户，因此，也可以说，DSAccess在F/B构架中是一个非常关键的组件，不正确的DSAccess配置将导致Exchange前端服务器无法连接正确的后端服务器，尤其是在DMZ网络环境中。
当用户连接到前端服务器请求数据时，需要进行身份验证，而不同的客户类型，前端服务器又将采用不同的验证方式来验证用户。身份验证即可以在前端服务器进行，也可以在后端服务器上进行，或者两个服务器都进行验证（双重验证）。在典型的双重验证方式中，前/后端服务器均被配置为HTTP明文验证[注释3]方式。由于Exchange依赖IIS来实现HTTP验证，而IIS使用RPC连接到目标服务器进行验证，因此，当前端服务器的RPC不能连接到目标服务器时（如DMZ网络环境中），您可以使用Pass-through验证方式，而且也仅在这种情况下使用Pass-through方式，因为Pass-through启用后，由于对前后服务器是匿名连接，因此无法通过前端服务器实现公用文件夹访问的负载平衡，而且OWA中的隐式登录也不再被支持，每个访问者必须提供一个包括用户名的完整URL来进行访问（见下文的OWA访问部分）。当您的验证请求仅在前端服务器上进行时，用户访问Exchange计算机必须输入domain\username格式来响应系统的验证请求。因此，不论是从系统的安全性角度，还是对用户的可用性角度，双重身份验证是被推荐的验证方式。下面我们来看一下不同的客户类型在不同的验证方式下的工作情况。
OWA客户：前端服务器接受到请求后，通过全局目录服务器检测被请求用户信箱所在服务器，然后，根据已经配置的身份验证方式，请求用户登录。用户可以输入http://server/exchange/username显式登录（Explicit Logon）到Exchange计算机，这是当前端服务器不需要身份验证时所使用的方式。在这种方式下，由于前端服务器无法判断用户的有效性，因此，无法实现公用文件夹访问的负载平衡。如果用户只是简单地输入http://server/exchange而忽略用户名，这只有被配置为双重验证时才可以正常工作，即所谓的隐式登录（Implicit Logon）。隐式登录对OWA客户是特别有用的一种登录方式，可以实现F/B构架中用户对信箱与公用文件夹访问的所有功能。但对于HTTP客户[注释4]，不支持使用隐式登录。
POP3/IMAP4客户：与OWA客户不同，不论您的验证方式是如何配置的，POP3/IMAP4客户直接在前端服务器上被验证，然后前端服务器再将用户信息发送到后端服务器，被验证后，客户计算机再通过前端服务器进行发送与接收。
在Exchange F/B构架中，一个很重要的部分是SMTP服务器的位置。SMTP可以位于任意一台Exchange计算机上，但如果您要为POP3/IMAP4客户提供发送功能，您的SMTP服务器应该位于前端服务器上[注释5]，为此，必须在您的前端服务器上运行Exchange Information Store服务[注释6]，因为SMTP需要为未提交的邮件发送NDR报告给邮件的发送人，出于安全因素，您同样需要正确配置SMTP Relay。
 [注释2]在Exchange SP2之前版本的DSAccess组件，使用RPC连接到活动目录，而SP2以后版本的DSAccess，使用标准的LDAP方法来访问活动目录。如果您的前端服务器放置在DMZ环境中，即使在安装SP2后，仍然需要特殊的配置，详见相关链接。
[注释3]由于前端服务器不支持Windows集成验证方式及HTTP 1.1 Digest验证方式，尽管后端服务器可以被配置为Windows集成验证，但在双重验证中，只能被配置为明文验证。因此，为确保用户名与密码在传输过程中的安全，请考虑使用SSL连接。
[注释4]HTTP客户是指通过HTTP服务器来发送/接收邮件的客户类型，OWA虽然使用标准的HTTP来访问Exchange，但它不是HTTP客户。通过Outlook Express或者Outlook中HTTP方式访问Exchange的客户类型，才是HTTP客户。
[注释5]如果您的防火墙支持地址映射，如ISA Server，那么您在支持POP3/IMAP4用户发送邮件的同时，仍然可以将SMTP服务器放置在其他Exchange计算机上。笔者的实现方法就是这样的。您也可以通过其他方式为POP3/IMAP4用户提供SMTP服务器。
[注释6]尽管前端服务器上在运行IS服务，这只是为SMTP提供服务，请勿在前端服务器上存储用户信箱。
4、设计一个典型的Exchange 2000前后端构架
图1显示的是一幅典型的Exchange 2000 F/B构架图，接下来，我们就以图1网络拓扑为例，探讨一下Exchange F/B构架的配置过程。从配置角度来讲，整个过程是比较简单的，您更需要关注的是配置前端服务器后可能引发的一些相关问题。

图1：典型的Exchange F/B拓朴图
1）基本要求：确保您目前有一个完整的Windows 2000域构架，DNS解析服务器；确保目前所有的Exchange计算机在默认方式下已经正常工作；
2）被配置为前端服务器的计算机，必须安装Exchange 2000 Enterprise Server，Exchange 2000 Standard Server不支持前端服务器的配置，但可以作为后端服务器使用。另外，所有的Exchange计算机必须在同一个Windows 2000森林内，如上文所述，这与全局目录服务器有关，前端服务器通过查询域所在的GC来定位到用户信箱或者公用文件夹，这样必然要求所有的Exchange计算机在同一森林内。
3）如果没有特别原因，请勿将第一台Exchange作为前端服务器[注释7]，也不要将DC（Domain Controller）与GC（Global Catalog）作为前端服务器；
4）为前后端服务器安装相同版本的Exchange Service Pack，目前SP2是一个非常优秀的版本[注释8]，推荐在您的Exchange计算机全部安装它。值得注意的是，如果您希望部署最新的Exchange Service Pack，请优先升级您的前端服务器，这样方可保证OWA组件的正常工作，由于OWA组件的特殊性，如果前端服务器上OWA中的模板与控件版本低于后端服务器，将导致OWA服务失败。
A.启动前端服务器：启动Exchange System Manager管理程序，依次打开Administrative GroupsàFirst Administrative GroupsàServers[注释9]，右击Exchange计算机（将被指定为前端服务器的Exchange计算机）àPropertiesàGeneral，启用“This is a front-end server.”选项，如图2所示：

B.配置身份验证：如前文所述，我们强烈推荐您使用双重身份验证方式。在Exchange System Manager中，依次打开Administrative GroupsàFirst Administrative GroupsàServersàServer NameàProtocolsàHTTPàExchange Virtual Server，右击Exchange文件夹àPropertiesàAccessàAuthentication，在对话框中，启用Basic Authentication，并且输入默认的DNS 域名，如图3所示：

图3：配置身份验证
    如果您的前端服务器放置在DMZ环境中，您必须在前端服务器上启用Anonymous Access，以支持Pass-Through验证。在前端服务器配置Basic Authentication之后，在每台后端服务器上进行同样的配置过程，但不论前端服务器如何配置，后端服务器总是保持Basic Authentication不变。
C.禁用不必要的服务：当一台Exchange计算机被指定为前端服务器后，因角色的变化，部分Exchange服务完全可以不必在它上面运行。除了下面指定的服务外，其他Exchange服务都可以在前端服务器上禁用：[注释10]
a.IIS Admin 该服务为OWA及HTTP客户服务
b.POP：为POP3用户提供接收邮件服务
c.IMAP：为IMAP4用户提供接收邮件服务
d.SMTP：为POP3/IMAP4用户提供发送邮件服务
e.Exchange SA：提供IIS与AD配置信息的复制及Exchange管理功能
f.Routing Engine：该服务必须运行在所有Exchange计算机上
D.删除存储文件夹
众所周知，Exchange数据的存储分成二部分：用户信箱与公用文件夹。您应该在前端服务器上删除这些存储文件夹。由于SMTP服务器需要使用系统服务账号为不能提交的邮件发送NDR报告，您可能仍然需要在前端服务器上运行IS服务，以支持SMTP服务。但公用文件夹存储您完全可以删除。如果您的前端服务器是第一台安装的Exchange计算机，您需要对公用文件夹做重定位之后才可以完全删除，关于公用文件夹的重定位，请参见微软PSS文档Q288150：How to Rehome Public Folders in Exchange 2000（http://support.microsoft.com/default.aspx?scid=kb;en-us;Q288150），Q307917： How to Remove the First Exchange 2000 Server Computer from the Site：http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q307917。如果您的SMTP服务器没有指定到前端服务器，那么你完全可以将Private Store与Public Store删除，并且停止Exchange Information Store服务。[注释11]同时，由于IS服务不再运行，您还可以考虑删除前端服务器上的M：盘，请参见微软PSS文档Q305145：HOW TO: Remove the IFS Mapping for Drive M in Exchange 2000 Server （http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q305145）。
E.与后端服务器相关的配置
在单个电子邮件域的情况下，除了一些安全相关的配置外，在后端服务器上无须进行任何特殊配置。但在多个电子邮件域的情况下，您需要在后端服务器上创建相应的HTTP虚拟服务器。关于虚拟服务器的创建与后端服务器安全配置，下文将会有细述。
 [注释7]由于第一台Exchange计算机上存储了许多与Exchange本身相关的配置信息，如果将第一台Exchange计算机作为前端服务器，您将需要进行更多的配置过程，因为您必须将一些配置信息及顶层公用文件夹迁移到其他Exchange计算机上去，详见Q307917文档。
[注释8]《软件》杂志在今年第七期上有一篇专门介绍Exchange Service pack 2特点的文章，建议您在部署Exchange F/B之前，先阅读该文章。
[注释9]如果您的Exchange System Manager的视图类型为Routing Groups，则可以直接打开Servers节点进行相同的操作，本文所提到的路径均以Administrative Groups为准。
[注释10]在Exchange SP2 之前，因为DSAccess，POP，IMAP服务依赖于RPCs，如果需要停止其他服务，必须通过修改注册表来解决这些服务之间的相互依赖性（Dependency），而部署Exchange SP2后，这些问题不再存在，因此，我们推荐您所有的Exchange 2000安装SP2以上版本，而且可以说，有了Exchange SP2，会大大简单您的Exchange F/B的部署。
[注释11]在前端服务器上停止Exchange Information Store之后，您将不能通过Internet Service Manager来管理Exchange中的HTTP服务。因此，在您停止IS服务之前，请确认已经完全配置正确。
5、关于Exchange 2000前后端技术的更多思考
以上过程基本上完成了一个简单的Exchange F/B构架，接下来我们来看一些与之相关性较大的话题。
A．多个电子邮件域的处理：如果您企业中存在多个域名，或者您的Exchange计算机需要为多个组织提供邮件服务，为此您必须在前/后端服务器上配置虚拟服务器或者虚拟目录。在您创建虚拟服务器时，必须对每个虚拟服务器指定域名[注释12]，指定储存用户信箱还是公用文件夹。当您在前端服务器上创建虚拟服务器或者虚拟目录后，必须在后端服务器上创建相同的虚拟服务器与虚拟目录，并且他们有着相类似的操作过程。下面是一个创建虚拟服务器的过程。
启动Exchange System Manager，依次打开：Administrative GroupsàFirst Administrative GroupsàServersàServer NameàProtocolsàHTTP，右击HTTPàNewàHTTP Virtual Server，如图4所示：

图4：创建HTTP虚拟服务器
在对话框中，您必须指定服务器IP地址，是存储用户信箱还是公用文件夹，最重要的是，单击“Modify”按钮，来选择更改域名。然后切换到“Access”页面，可以配置HTTP的验证方式，如前文所述，验证方式决定了用户访问时的登录方式。创建虚拟服务器后，您还需要为新的虚拟服务器创建相应的虚拟目录，按照默认规则，如果您为用户信箱存储创建虚拟目录，将Exchange作为虚拟目录名，如果是存储公用文件夹，将Public作为虚拟目录名[注释13]。如图5所示：

注释12]必须为每个虚拟服务器指定不同的域名，域名与IP地址，端口，主机头等的组合必须可以与其他虚拟服务器相区别，否则会导致所有HTTP服务工作不正常。
[注释13]不要试图为额外创建的虚拟服务器添加exadmin虚拟目录，这个目录只提供给Exchange System Manager程序使用，前端服务器并不为该虚拟目录提供“代理”功能。
B．前后端服务器的安全：Exchange F/B构架中的安全，需要从两个方面来考虑。首先，不论是前端服务器还是后端服务器，必须保证每一台Exchange计算机本身的安全配置。Exchange 2000与Windows 2000操作系统紧密集成，虽然借助了操作系统提供的安全机制，但不容忽视的是，Exchange 2000还与IIS 5.0紧密集成，大家都知道IIS在Internet上往往是被锁定的目标，因此，做好IIS的安全，同时也保证了Exchange计算机的安全。Microsoft在一年前发布了一款针对IIS的安全工具àIISLockDown程序，该程序在Exchange计算机上运行时，有许多需要特别注意的地方，虽然有部分人不推荐在Exchange计算机上使用IISLockDown程序，但在一个安全性要求较高的环境中，您还是有必要使用它，我推荐您严格按照Microsoft PSS文档Q309508：IIS Lockdown and URLscan Configurations in an Exchange Environment，（http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q309508）上所讲的过程来部署IIS安全工具。如果您的域名是.com结构，在安装IISLockDown程序之后，您还需要打开位于%systemroot%\system32\inetsrv\urlscan目录中的urlscan.ini文件，把[DenyExtensions]小节中的.com去掉，否则在打开Exchange System Manager中Folder节点时产生错误。关于IISLockDown程序在Exchange计算机上的部署及相关的设置配置，请参见文末提供的链接。其次，需要考虑的安全问题就是客户计算机连接前端服务器时的安全与前端服务器与后端服务器之间的安全连接。您可以使用标准的SSL，IPSec来加强安全，但前端服务器不支持通过SSL与后端服务器的通信。关于SSL，IP Security等的配置，请参见Windows 2000技术文档，此处不再复述。      
C．当前/后端服务器脱机时：在实际生产环境中，由于硬件维护等原因，您的后端服务器可能会临时被关闭。当被请求的数据恰好存放在这台被关闭的计算机上时，前端服务器将尝试连接到其他可用的后端服务器上去。直到原后端服务器加入到网络10分钟之后，才可以正常使用。[注释13]
D．DSAccess组件在DMZ网络中的配置：Exchange 2000 SP2中的DSAccess已经被重新设计，为DMZ网络提供了更好的支持，但仍然需要在注册表中修改两个键值：
1)禁止DSAccess检测NetLogon服务，并且禁止RPC穿过防火墙：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\MSExchangeDSAccess\Profiles
\DisableNetlogonCheck，设置键类型为REG DWORD，键值：1
2)在DMZ中，您必须在前端服务器上创建相应的注册键，防止DS与DC之间的Ping问题：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\MSExchangeDSAccess\LdapKeepAliveSecs，设置键类型为REG DWORD，键值：0
 [注释13]后端服务器被再次投入生产环境后，需要使用10分钟才可以更新AD数据库，这样GC才可以查询到这台计算机的存在。如果您关闭的计算机是GC，同样对Outlook客户造成10分钟的时间差，因为在Exchange 2000里Outlook需要通过查询GC来获得需要连接的Exchange计算机。

6、总结
Exchange 2000中的Front-End and Back-End技术是个比较广的话题，在实际的环境中，需要有更多的细节需要处理，如前端服务器是单机还是Cluster，同样，后端服务器也可以是单台计算机或者是个Cluster等。但只要您的Exchange计算机部署了Exchange SP2以上版本，F/B构架的实现过程被大大简化了，与Exchange安全相关的配置，已经被包括到操作系统与IIS中，近段时间，微软站点发布了一篇有关Exchange 2000安全的白皮书，强烈建议您通过文末提供的链接去阅读它，文章中提供了非常有效的手段来解决Exchange计算机的安全问题。本文提及的配置过程从常规角度来描述，希望可以起到抛砖引玉的作用。在文末，提供一些相关主题的技术白皮书供您参考：
Microsoft Exchange 2000 Server Front-End and Back-End Topology
http://www.microsoft.com/technet/prodtechnol/exchange/exchange2000/maintain/
optimize/EK2FRONT.asp
Security Operations Guide for Exchange 2000 Server
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/mailexch/opsguide/default.asp
Security Operations Guide for Windows 2000 Server
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/windows/windows2000/staysecure/default.asp
White Paper - Troubleshooting Outlook Web Access in Microsoft Exchange 2000 Server：
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q326303
Using DSAccess in a Perimeter Network Firewall Scenario Requires a Registry Key Setting：
http://support.microsoft.com/default.aspx?scid=KB;EN-US;Q320529