标签: outlook-anywhere

我正在使用 Samba 3.5.4 在 Linux CentOS 5.4 上运行 Squid 代理（最新版本，3.1.4），以允许域用户进行身份验证的 Web 访问；一切正常，甚至完全支持 Windows 7 客户端。身份验证对域用户是透明的，而对于非域用户则是明确请求的，并且如果用户可以提供有效的域凭据，它就可以工作。一切都很好。

然后，Outlook Anywhere 开始工作，随之而来的是痛苦和苦难。

当 Outlook（无论是 2007 还是 2010，都无所谓）在 Windows XP 客户端上运行时，它会通过 Squid 代理正常连接到其远程 Exchange 服务器。

当它在 Windows 7 上运行时，它不会。

如果从代理中取消身份验证要求，则一切都可以在 Windows 7 上运行，因此问题显然与使用 Squid 的 NTLM 身份验证有关。

深入研究 (WireShark)，我发现 Outlook Anywhere 在 Windows 7 上运行时使用 HTTP 1.1，而在 Windows XP 上运行时使用 HTTP 1.0。而且看起来像 Squid，即使是它的最新版本，在正确处理 HTTP 1.1 方面仍然存在一些严重的问题，尤其是在混合使用 SSL 和代理身份验证时。

在等待 Squid 完全和正式支持 HTTP 1.1（看起来这可能需要很长时间）时，我正在寻找以下解决方案之一：

• 如果可能的话，让 Squid 正确处理这个问题。
• 识别 Outlook Anywhere 连接并使 Squid …

tl;博士问题

CAS 服务器偶尔会获得一两个经过 NAT 处理的 IP 地址，这些 IP 地址背后有数百个用户。这对可扩展性不利。

tl;dr 解决方案

让经过 NAT 的 Outlook 客户端连接到多个 DNS 名称/IP 目标。在负载均衡器中使用它，可以减少 NAT 问题。

更多信息

我们的大多数 Exchange 客户使用 RPC/HTTPS 和 Outlook Anywhere。我们的许多客户端在单个 NAT 地址后面成百上千。

这会导致负载平衡器将大量 NAT 用户群发送到同一个 CAS 服务器。CAS 服务器然后达到 100% CPU 并且无法为最终用户提供服务。

我的解决方案

由于无法将 cookie 负载平衡附加到 NetScaler 中的 Outlook Anywhere，我认为添加更多 DNS 名称可能会很好。我来解释一下。

在给定的 DAG 中，我使用这些 DNS 名称：

• NYCAS01.company.com
• Autodiscover.company.com
• 电子邮件.company.com

如果我能够更改它以便我为大部分流量使用更多 DNS 名称会怎样：

• NYExGroup1.company.com NYExGroup2.company.com NYExGroup2.company.com
• Autodiscover.company.com
• 电子邮件.company.com

我将通过将每个 Exchange 数据库上的 RPC 服务器属性设置为“NyExGroupX.company.com”的属性并设置相应的外部 IP 来完成此操作。当然，这意味着我还需要更新我的外部证书。

我很确定这种配置将保证诸如“SomeLargeCompany”之类的 NAT 源将连接到多个“组”DNS 名称。这意味着负载均衡器将能够使用多个目标 IP 并更均匀地分配流量。

题 …

啊。几个月前，我们为一个大客户构建了一个全新的 AD 和 Exchange 2010 环境。Outlook Anywhere 不工作。Outlook 客户端从不连接，似乎不是错误或超时。

这是一次迁移。最初我们对 Outlook Anywhere 的证书不匹配，所以我很确定它从未奏效。我们最近更改了每个人的 SMTP 域后缀以匹配 webmail URL 的域，所以我预计 OA 会开始工作。现在我们有一个下雪天，很多人在家，但结果证明它不起作用。看起来代理 RPC 连接到 OAB 存在某种问题，但我对如何解决这个问题感到非常困惑。

自动发现很好，OWA、ActiveSync、EWS 都已经工作了几个月。

我们在 DAG 中有 2 个邮箱服务器，1 个用于公共文件夹和日志的邮箱服务器，一个 2 个服务器的 CAS 阵列。在内部，我们有数组的 NLB。在外部，我们为阵列提供了一个简单的 Netscaler LB VIP，它没有做任何特别的事情，只是一个 TCP 443 直通。

RCA 显示了这一点 - 它总是大约 33 秒，所以我假设这里有 30 秒的超时。

正在尝试 ping RPC 代理 webmail.5ssl.com。RPC 代理已成功 ping 通。其他详细信息 已用时间：201 毫秒。

尝试使用身份 ping MAPI 邮件存储端点：PFEXCAS.internal.domain.name.com:6001。尝试 ping 端点失败。其他详细信息 RPC 运行时进程引发了 RPC 错误。错误 1818 呼叫已取消

已用时间：33536 毫秒。

现在，两个 CAS 服务器确实都在侦听 TCP 6001。PFEXCAS …

我们已将 Outlook 2010 配置为使用 Outlook Anywhere，并且它适用于 SBS 2011 Std。但是，在启动时，它会抱怨证书不匹配。

在对 Fiddler2 进行一些嗅探之后，我们了解到，尽管为 Outlook Anywhere（我们有适当的证书）提供了 support.ourdomain.com 的 URL，但 Outlook 仍然会转到 remote.ourdomain。 com 在自动发现阶段 - 因此无效证书警告。

为什么 Outlook 使用不同的 URL 进行自动发现，我们如何更改它以使用正确的 URL？