Compartilhar via

Como configurar o serviço de Disponibilidade para topologias entre florestas

  • Artigo

 

Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Tópico modificado em: 2012-09-24

Este tópico explica como usar o Shell de Gerenciamento do Exchange para configurar o serviço de Disponibilidade de topologias entre florestas. O serviço de Disponibilidade melhora os dados de disponibilidade dos operadores de informações, oferecendo informações de disponibilidade seguras, consistentes e atualizadas aos computadores que estão executando o Microsoft Office Outlook 2007. Por padrão, esse serviço é instalado com o Microsoft Exchange Server 2007. Em topologias entre florestas, em que todos os computadores clientes se conectando executam o Outlook 2007, o serviço de Disponibilidade é o único método de recuperação de dados de disponibilidade.

Dica

Não é possível usar o Console de Gerenciamento do Exchange para configurar o serviço de Disponibilidade para topologias entre florestas.

O serviço de Disponibilidade pode ser usado em topologias entre florestas confiáveis e não confiáveis. O tipo de informação de disponibilidade será determinado se os dados de disponibilidade forem configurados como um serviço em toda a organização ou por usuário. Informações de disponibilidade por usuário são possíveis apenas em uma topologia entre florestas confiável. Isso habilita o serviço de Disponibilidade a fazer solicitações entre florestas em nome de um usuário em particular. Isso habilita um usuário em uma floresta remota a conceder informações de disponibilidade detalhadas a um usuário entre florestas.

Por outro lado, os dados de disponibilidade em toda a organização habilitam o serviço de disponibilidade a fazer solicitações entre florestas somente em nome de uma determinada organização. Nesse caso, as informações de disponibilidade padrão de um usuário são retornadas e não é possível controlar o nível de informações de disponibilidade retornado a usuários na outra floresta.

Dica

Os termos Floresta de origem e Floresta de destino são usadas neste tópico para identificar cada floresta. Esses grupos são definidos desta forma:

  • A Floresta de origem é a floresta do Exchange da qual o Serviço de disponibilidade faz a consulta de disponibilidade.

  • A Target forest é a floresta do Exchange de que a informação de disponibilidade está sendo recuperada.

Configurando o Windows para topologias entre florestas

Dependendo do cenário, considere também os seguintes requisitos:

  • Sincronize a lista de endereços global (GAL) entre as florestas.

  • O serviço Descoberta Automática deve ser executado entre as florestas.

  • Todos os servidores de Acesso para Cliente do Exchange 2007 devem validar o certificado na floresta de destino.

noteObservação:
Microsoft O pacote cumulativo de atualizações 6 do Exchange Server 2007 Service Pack 3 (SP3) usa a URL externa para Serviços Web do Exchange, para se conectar à floresta de destino. A URL externa para os Serviços Web do Exchange não poderão ser retornados pelo serviço de Descoberta Automática, se o Outlook em Qualquer Lugar não estiver habilitado na floresta de destino. Nesse caso, a pesquisa entre florestas falhará.
Para contornar esse problema, habilite o Outlook em Qualquer Lugar na floresta de destino e verifique se a URL externa para os Serviços Web do Exchange está configurada corretamente.

  1. Habilite o Outlook em Qualquer Lugar na floresta de destino. Para informações sobre como habilitar o Outlook em Qualquer Lugar, visite este site do TechNet: Assistente para Habilitar o Outlook em Qualquer Lugar > Página Habilitar o Outlook em Qualquer Lugar

  2. Configure a URL externa para os Serviços Web do Exchange para a floresta de destino. Para fazer isso, execute o seguinte comando no Windows PowerShell para Exchange:

    Set-WebServicesVirtualDirectory -identity “server_name\EWS (Default Web Site)” -ExternalURL https://mail.contoso.com/ews/Exchange.asmx

    Dica

    Nesse comando, contoso é um espaço reservado para o nome de domínio real.

  3. Habilite o Outlook em Qualquer Lugar para as caixas de correio de organização que irão fazer solicitações de disponibilidade remota de entrada.

    Dica

    Se um administrador desabilitar o Outlook em Qualquer Lugar em uma caixa de correio individual, essas informações de caixa de correio não poderão ser recuperadas por uma floresta remota, porque a Descoberta Automática não irá retornar um valor de ExternalURL dos Serviços Web do Exchange para a caixa de correio.

Para configurar o Microsoft Windows para uma topologia entre florestas, você deve instalar a Sincronização da GAL (GALSync). Para obter informações sobre como instalar e configurar o recurso GALSync no MIIS (Microsoft Identity Integration Server) 2003, consulte os seguintes recursos:

Esse recurso cria contatos habilitados para caixa de correio que representam destinatários de outras florestas. Isso permite que os usuários visualizem os contatos na GAL e os adiciona como participantes de reuniões.

Em um cenário entre florestas do Exchange 2007, o único método de compartilhar informações de disponibilidade entre florestas é o serviço de Disponibilidade. Como os clientes ou usuários herdados do Outlook que possuem caixas de correio hospedadas em versões anteriores do Exchange não podem usar o serviço de Disponibilidade, eles não conseguem recuperar as informações de disponibilidade dos usuários fora de suas florestas, a menos que as informações armazenadas nas pastas públicas sejam replicadas entre as florestas.

Portanto, se você estiver usando o Office Outlook 2003 ou anterior, use a ferramenta de Replicação Interna da Organização do Microsoft Exchange para sincronizar dados de disponibilidade entre várias florestas. Para obter mais informações sobre a ferramenta Inter-Organization Replication do Microsoft Exchange, consulte Microsoft Exchange Server Inter-Organization Replication (página em inglês).

Execute também o seguinte cmdlet a partir do Shell de Gerenciamento do Exchange para definir a disponibilidade da pasta pública:

Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder

Permissão necessária para executar os cmdlets

  • Para executar o cmdlet Get-ClientAccessServer, você deve usar a conta à qual esteja delegada a seguinte função:

    Função Administrador Somente para Exibição do Exchange

  • Para executar o cmdlet Add-ADPermission, você deve usar a conta à qual estejam delegadas as seguintes funções:

    Função Administrador da Organização do Exchange

  • Para executar o cmdlet Add-AvailabilityAddressSpace, você deve usar a conta à qual estejam delegadas as seguintes funções:

    Função Administrador da Organização do Exchange

  • Para executar o cmdlet Set-AvailabilityConfig, você deve usar a conta à qual esteja delegada a seguinte função:

    Função Administrador da Organização do Exchange

Para obter mais informações sobre permissões, delegação de funções e os direitos necessários para administrar o Exchange Server 2007, consulte Considerações sobre permissão.

Disponibilidade entre florestas e serviço de Descoberta Automática

O serviço de Descoberta Automática fornece informações do serviço de Disponibilidade localizando e fornecendo as URLs internas e externas do cliente Outlook 2007 e do servidor Acesso para Cliente do Exchange 2007 para disponibilidade entre florestas. Isso significa que os servidores Acesso para Cliente devem conseguir conectar-se ao serviço de Descoberta Automática na floresta de destino para retornar a URL do serviço de Disponibilidade.

Em um cenário de disponibilidade entre florestas, há basicamente duas opções para configurar o serviço de Descoberta Automática.

  • Exporte o SCP (Ponto de Conexão de Serviço) da floresta de destino para a floresta de origem se houver uma relação confiável entre as florestas.

  • Use o DNS para resolver o endereço do site autodiscover.targetforest.com.

Dica

Os registro DNS do local de serviço (SRV) não funcionam para localizar o serviço de Descoberta Automática para um servidor Acesso para Cliente do Exchange 2007 em um cenário entre florestas.

O serviço de disponibilidade entre florestas possui um limite de tempo quando o serviço executa uma solicitação de serviços de Descoberta Automática para usuários entre florestas no serviço de diretório do Active Directory. Por padrão, esse valor de tempo limite é de 10 segundos. Se a solicitação de Descoberta Automática não for concluída em 10 segundos, a solicitação de serviço de disponibilidade para o usuário entre florestas poderá atingir o tempo limite. Para mais informações, consulte os seguintes tópicos:

Disponibilidade entre florestas e certificados

Quando você instala o Exchange 2007 com a função de servidor Acesso para Cliente, é instalado um certificado digital auto-assinado. Um certificado auto-assinado tem duas entradas de Nome de Assunto Alternativo (SAN): um para o nome NetBIOS do servidor de Acesso para Cliente e outro para o nome de domínio totalmente qualificado (FQDN) do servidor de Acesso para Cliente. Assim, se você planeja usar o certificado autoassinado padrão instalado no servidor de Acesso para Cliente, você só tem uma opção para fazer a Descoberta Automática funcionar entre as duas florestas: Você deve exportar o SCP da floresta de destino para a floresta de origem. Nesse cenário, você terá um relacionamento de confiança entre as florestas. Para mais informações, consulte os seguintes tópicos:

Se não houver um relacionamento de confiança entre as florestas e você ainda quiser usar um certificado autoassinado, emita novamente um novo certificado autoassinado e inclua o Nome de Assunto Alternativo para a descoberta automática.targetforest.com. Você pode usar o cmdlet New-ExchangeCertificate para gerar um novo certificado auto-assinado. Para mais informações, consulte New-ExchangeCertificate (RTM).

Embora o certificado auto-assinado possa ser usado para criptografar as comunicações entre um servidor Acesso para Cliente e outras funções de servidor do Exchange 2007, não recomendamos que ele seja usado com aplicativos e dispositivos clientes. Devido às limitações de um certificado auto-assinado, recomendamos que você substitua o certificado auto-assinado por um certificado confiável de terceiros ou por um certificado assinado por uma PKI do Windows. Para obter mais informações, consulte os seguintes tópicos de Ajuda do Exchange:

Procedimento

Para usar o Shell de Gerenciamento do Exchange para configurar o serviço de Disponibilidade para topologias entre florestas

  1. Em um cenário de relacionamento de confiança do Windows, execute os seguintes cmdlets nas florestas de destino e de origem:

    Floresta de Origem:

    Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true

    Floresta de Destino:

    Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User  "Sourceforest\Exchange Servers"

  2. Se não houver um relacionamento de confiança, execute os seguintes cmdlets nas florestas de origem e de destino. Neste cenário, uma conta de serviço com poucas permissões é necessária no domínio de destino. Por exemplo, use uma conta regular sem permissões administrativas.

    Floresta de Origem:

    $a = Get-Credential (Type the credential  "TargetForest\User"  for organization-wide user)
Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a

    Floresta de Destino:

    Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"

  3. Em um cenário de relacionamento de confiança, há dois métodos para configurar o serviço de Descoberta Automática. Exporte o SCP da floresta de destino ou use o DNS para consultar o registro host “autodiscover.targetforest.com."

    • Em um cenário de relacionamento de confiança, exporte o SCP da floresta de destino para a floresta de origem usando o seguinte cmdlet:

      $a = Get-Credential (Type "SourceForest\Administrator")
Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true

      Dica

      Após a importação do SCP de um domínio remoto, o serviço de Descoberta Automática poderá não funcionar corretamente e os clientes do Outlook 2007 poderão não conseguir consultar informações de Ausência Temporária e de Disponibilidade. Para informações sobre como resolver esse problema, consulte o artigo 973404, Descrição do pacote do hotfix do Outlook 2007 (Outlook-x-none.msp): 25 de agosto de 2009

    • Em um cenário confiável ou não confiável, o servidor Acesso para Cliente do Exchange 2007 é configurado para consultar DNS para resolver “autodiscover.targetforest.com." Nesse caso, crie um registro host para “autodiscover.targetforest.com."

      Dica

      A Descoberta Automática retornará o parâmetro InternalURL de Disponibilidade para o servidor Acesso para Cliente do Exchange 2007.

  4. Se você tiver uma floresta confiável ou não confiável, o servidor Acesso para Cliente do Exchange 2007 na floresta de origem deverá validar o certificado instalado em cada servidor Acesso para Cliente do Exchange 2007 na floresta de destino. Para certificar-se de que você esteja usando um certificado válido, siga estas etapas:

    1. Se um certificado auto-assinado estiver instalado no servidor Acesso para Cliente do Exchange 2007 na floresta de destino, exporte-o. O mesmo conceito se aplica caso haja um CA de raiz interna e um certificado privado for instalado. O Exchange 2007 é instalado com um certificado SSL autoassinado padrão. Use este certificado ao habilitar o SSL para o Exchange ActiveSync, o Office Outlook Web Access e serviço de Disponibilidade. No entanto, os usuários receberão uma solicitação porque o certificado é considerado inválido pela maioria dos aplicativos. O Exchange ActiveSync e o Office Outlook Web Access aceitam fazer proxy de um servidor Acesso para Cliente para outro servidor Acesso para Cliente. Para que a operação de proxy seja realizada com êxito quando um certificado auto-assinado for usado, você deverá configurar as seguintes chaves do Registro, conforme mostrado:

      HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1

    2. Depois de exportar o certificado auto-assinado ou o certificado de CA raiz, importe-o para o store de contas do computador em cada servidor Acesso para Cliente do Exchange 2007.

  5. Para testar com êxito os serviços de Descoberta Automática e de Disponibilidade, use um dos seguintes métodos:

    • SCP Exportado: No servidor Acesso para Cliente do Exchange 2007 na floresta de origem, acesse o site de Descoberta Automática e, em seguida, execute o seguinte cmdlet na floresta de destino:

      Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri
Get-WebServiceVirtualDirectory | fl name, InternalUrl

      Repita esse procedimento no site do serviço de Disponibilidade para a floresta de destino.

    • DNS: No servidor Acesso para Cliente do Exchange 2007 na floresta de origem, acesse o site de Descoberta Automática e, em seguida, execute o seguinte cmdlet na floresta de destino:

      Get-WebServicesVirtualDirectory | fl name, ExternalUrl

      Repita esse procedimento no site do serviço de Disponibilidade para a floresta de destino.

Para obter mais informações

Para obter informações detalhadas sobre sintaxe e parâmetros, consulte os seguintes tópicos de referência a cmdlets: