一次Outlook Anywhere功能失败问题的漫长解决之路

韩晓雷

1       概述

我们当前使用的是Exchange 2007服务器, CAS\HTS角色服务器放置于DMZ区域，MBS角色服务器放置于内网，中间存在防火墙，并根据需要开启了部分端口，进行CAS\HTS和MBS之间通信。

因公司进行过机房搬迁，搬迁之后网络和服务器配置和之前保持一致，但是内外网的Outlook Anywhere功能均不能正常使用。

2       原因分析

首先，当前这种服务器架构是一种不合理的架构，也是微软极为不推荐的一种架构，建议按照官方推荐架构进行服务器的架构调整。

经过多次排查分析，跨时半年，经过我们内容资深工程师的分析，二线团队分析，以及最后寻找微软开启专业支持CASE，检查系统相关的组件均正常，但是问题依旧未能解决；最终将问题均定位于CAS\HTS和MBS服务器之间的防火墙阻挡了通信端口，导致Outlook Anywhere功能无法使用，但是客户因管理、安全及其他因素考虑，一直不方便进行网络调整。

迫于用户的压力，最终与客户沟通，还是按照我们的方案进行调整，并最终成功解决问题。

3       解决方案

3.1      服务器架构调整

1.      当前的服务器架构，CAS\HTS角色服务器和MBS中间是存在防火墙，导致通信存在一些问题，如下图：

                                             

2.      将CASHTS1和CASHTS2从DMZ区迁移到内网，与MBS1和MBS2放置于同一网段；

3.      架构调整后，如下图：

4.      将CAS\HTS服务器搬至内网，可通过NLB实现服务器级别高可用；

5.      但是鉴于微软NLB的兼容性问题，如果NLB配置因兼容性问题，无法成功配置，则需要配置为DNS轮询；

3.2      用户访问方式变更

1.      用户OWA访问名称及方式不变，通过https://mail./owa进行访问；

2.      POP3、Outlook Anywhere等依然使用mail.；

3.      F5可配置作为CASHTS1和CASHTS2的代理服务器，发布出去为外网用户提供POP服务、Outlook Anywhere、OWA等服务。

3.2.1     内部用户访问

4.      CAS\HTS搬迁至内网，需要重新配置NLB(失败时使用DNS轮询)，名称保持不变，仍然使用mail.；

5.      内部用户OWA、POP访问通过NLB或DNS轮询实现负载均衡；

6.      Outlook访问不受影响；

7.      NLB或DNS轮询配置，由嘉为进行配置，第一创业同事协助；

3.2.2     外部用户访问

1.      外部用户访问通过DMZ区新增加的F5设备，实现负载及发布；

2.      CASHTS1和CASHTS2与放置于DMZ去的F5设置开通如下端口：

a)     25和110端口，POP3使用

b)     443端口，Outlook Anywhere、OWA、ActiveSync使用

c)      外部用户要正常使用Outlook Anywhere，需要安装企业内部根证书和Exchange服务器证书；

3.3      邮件路由变更

1.      邮件路由不变，但是因服务器IP地址变更，所以网关需要进行相应调整；

2.      将之前指向HTS服务器及NLB的IP调整为新的Exchange服务器的IP；

3.      其他网关配置需要调整的部分；

3.4      调整完成后需进行的测试