Настройка разгрузки SSL в Exchange 2013Configuring SSL offloading in Exchange 2013

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Следующая информация поможет вам настроить разгрузку SSL для протоколов и связанных служб на серверах клиентского доступа Exchange 2013 с установленным пакетом обновления 1 (SP1). Если используется несколько серверов клиентского доступа, необходимые шаги требуется выполнить для каждого протокола или службы на каждом сервере клиентского доступа с установленным пакетом обновления 1 (SP1) в вашей локальной организации. Подразумевается, что каждый сервер клиентского доступа в организации должен быть настроен идентично. Если вы устанавливаете новые накопительные пакеты обновления (CU) или пакеты обновления (SP) и хотите продолжить использование разгрузки SSL, необходимо опять выполнить следующие действия после обновления или установки этих обновлений на серверы клиентского доступа Exchange 2013.The following helps you in configuring SSL offloading for the protocols and related services on Exchange 2013 Client Access servers with Service Pack 1 (SP1) installed. If you have multiple Client Access servers, you must perform the required steps for each protocol or service on every Client Access server with SP1 installed in your on-premises organization. That is not to mention that each Client Access server in your organization must be configured identically. If you are upgrading to newer Cumulative Updates (CUs) or service packs and you want to continue to use SSL offloading, you must perform the following steps again after you have upgraded or applied those updates on your Exchange 2013 Client Access servers.

Одно из главных преимуществ разгрузки SSL — возможность более простого управления используемыми сертификатами. Вместо отдельных SSL-сертификатов для каждого сервера клиентского доступа с пакетом обновления 1 (SP1) используется один SSL-сертификат, который импортируется на все серверы клиентского доступа. Это может быть существующий или специально созданный SSL-сертификат.One of the biggest advantages to SSL offloading is having the ability to more easily manage certificates that are used. Instead of having separate SSL certificates for each Client Access server with SP1 installed, a single SSL certificate is used and imported to all Client Access servers. The certificate used can be an existing or newly created SSL certificate.

Предупреждение

При использовании диспетчера служб IIS, командной консоли Exchange или интерфейса командной строки для настройки разгрузки SSL следует помнить, что существует веб-сайт по умолчанию и фоновый сайт Exchange. Для разгрузки SSL настраивается только веб-сайт по умолчанию, а фоновый сайт Exchange не изменяется.When you use Internet Information Services (IIS) Manager, the Exchange Management Shell, or a command-line interface to configure SSL offloading, notice that there is a Default Web Site and an Exchange Back End site. For SSL offloading, only configure the Default Web Site and don't make any changes to the Exchange Back End site.

СодержаниеContents

Configuring SSL offloading for Outlook Web AppConfiguring SSL offloading for Outlook Web App

Configuring SSL offloading for the Exchange Admin Center (EAC)Configuring SSL offloading for the Exchange Admin Center (EAC)

Настройка разгрузки SSL для Outlook AnywhereConfiguring SSL offloading for Outlook Anywhere

Настройка разгрузки SSL для автономной адресной книги (OAB)Configuring SSL offloading for the Offline Address Book (OAB)

Настройка разгрузки SSL для Exchange ActiveSync (EAS)Configuring SSL offloading for Exchange ActiveSync (EAS)

Настройка разгрузки SSL для веб-служб Exchange (EWS)Configuring SSL offloading for Exchange Web Services (EWS)

Настройка разгрузки SSL для службы автообнаруженияConfiguring SSL offloading for the Autodiscover service

Настройка разгрузки SSL для прокси-сервер службы репликации почтовых ящиков (MRSProxy)Configuring SSL offloading for the Mailbox Replication Proxy Service (MRSProxy)

Настройка разгрузки SSL для клиентов Outlook (виртуальный каталог MAPI)Configuring SSL offloading for Outlook clients (MAPI virtual directory)

Using a Shell script to enable SSL offloading for all protocols and servicesUsing a Shell script to enable SSL offloading for all protocols and services

Настройка совместной работы Exchange 2007 и Exchange 2010Configuring coexistence with Exchange 2007 and Exchange 2010

Что нужно знать перед началом работыWhat do you need to know before you begin?

  • Установите для вашей организации все необходимые серверы клиентского доступа и серверы почтовых ящиков.Install all of the required Client Access and Mailbox servers in your organization.

  • Установите пакет обновления 1 (SP1) на все серверы клиентского доступа и серверы почтовых ящиков в вашей организации. Сведения о том, как скачать пакет обновления 1 (SP1), см. в разделе Обновления для Exchange 2013.Install Service Pack 1 (SP1) on each Client Access and Mailbox server in your organization. To download SP1, see Updates for Exchange 2013.

  • Определите необходимые разрешения для Exchange 2013, ознакомившись с разделом Разрешения на функции.Determine the required permissions for Exchange 2013 by seeing Feature permissions.

  • Сведения о том, какие разрешения необходимы для серверов клиентского доступа, см. в разделе "Разрешения серверов клиентского доступа" статьи Разрешения клиентов и мобильных устройств.To see what permissions you need for Client Access servers, see "Client Access server permissions" in Clients and mobile devices permissions.

  • Сведения о том, какие разрешения необходимы для Outlook Web App, см. в разделе "Разрешения Outlook Web App" статьи Разрешения клиентов и мобильных устройств.To see what permissions you need for Client Access servers, see "Outlook Web App permissions" in Clients and mobile devices permissions.

  • Для выполнения некоторых процедур достаточно командной консоли. Сведения о том, как открыть командную консоль в локальной организации Exchange, см. в разделе Open the Shell.You might be able to use only the Shell to perform some procedures. To learn how to open the Shell in your on-premises Exchange organization, see Open the Shell.

  • Чтобы использовать существующий сертификат на серверах клиентского доступа и на устройстве, на котором терминируются SSL-подключения, экспортируйте сертификат с закрытым ключом на сервер клиентского доступа и импортируйте или установите его на устройство. Дополнительные сведения см. в разделе Export-ExchangeCertificate.To use an existing certificate on your Client Access servers and on the device you are terminating the SSL connections with, export the certificate with the private key on a Client Access server and import or install it on the device. For details, see Export-ExchangeCertificate.

  • Для применения нового сертификата необходимо с помощью EAC или командной консоли создать, импортировать и активировать новый сертификат. Дополнительные сведения см. в разделе Пользовательский интерфейс управления сертификатами Exchange 2013.To use a new certificate, you must use EAC or the Shell to create, import, and enable the new certificate. For details, see Exchange 2013 certificate management UI.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обращение за помощью в форумах Exchange. Посетите форумы Exchange Server, Exchange Onlineили Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server, Exchange Online, or Exchange Online Protection.

Настройка разгрузки SSL для Outlook Web AppConfigure SSL offloading for Outlook Web App

Чтобы включить разгрузку SSL для Outlook Web App, необходимо удалить требование SSL в виртуальном каталоге owa на веб-сайте по умолчанию:To enable SSL offloading for Outlook Web App, you need to remove the SSL requirement on the owa virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге owa , можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the owa virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог owa. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the owa virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeOWAAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeOWAAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для центра администрирования Exchange (EAC)Configure SSL offloading for the Exchange Admin Center (EAC)

Чтобы включить разгрузку SSL для EAC, необходимо удалить требование SSL в виртуальном каталоге ecp на веб-сайте по умолчанию:To enable SSL offloading for EAC, you need to remove the SSL requirement on the ecp virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге ecp можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the ecp virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог ecp. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the ecp virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeECPAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeECPAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для Outlook AnywhereConfiguring SSL offloading for Outlook Anywhere

По умолчанию разгрузка SSL для мобильного Outlook включена. Клиенты мобильного Outlook могут получать сообщения электронной почты из частной или общедоступной сети. По умолчанию, чтобы разрешить подключение внутренним клиентам Outlook, используется имя внутреннего узла или полное доменное имя сервера. Но если мобильный Outlook не используется во внутренней среде, необходимо удалить имя внутреннего узла. Чтобы разрешить внутренний и внешний доступ для клиентов Outlook, требуется настроить имена внутреннего и внешнего узла, задать для них способ проверки подлинности и настроить внутренние и внешние клиенты так, чтобы они требовали использование SSL. Способ проверки подлинности внешних клиентов можно настроить с помощью EAC или командной консоли Exchange, но для внутренних клиентов необходимо использовать командную консоль:SSL offloading for Outlook Anywhere is enabled by default. Outlook Anywhere clients can get email from a private or public network. By default, the internal host name or FQDN of the server is used to enable internal Outlook clients to connect. However, if Outlook Anywhere isn't used internally, then you should remove the internal host name. To allow both internal and external access for Outlook clients, you must configure the internal and external host names, set the authentication method for each, and set both the internal and external clients to require SSL. To configure the authentication method for the external clients, you can use EAC or the Exchange Management Shell, but for internal clients, you must use the Shell:

  • Шаг 1 Если вы не добавили имя внешнего узла для мобильного Outlook, можно использовать Центр администрирования Exchange или командной консоли Exchange:Step 1 You can use EAC or the Shell if you haven't added an external host name for Outlook Anywhere:

    • В EAC откройте раздел Серверы, выберите имя сервера клиентского доступа, а затем нажмите кнопку Изменить. В окне Exchange Server щелкните Outlook Anywhere и в поле Укажите имя внешнего узла (например, contoso.com), с помощью которого пользователи будут подключаться к вашей организации введите имя внешнего узла. Убедитесь, что флажок Разрешить разгрузку SSL установлен, и нажмите кнопку Сохранить.Using EAC, go to Servers, select the name of the Client Access server in the list, and then click Edit. In the Exchange Server window, click Outlook Anywhere, and then in the Specify the external host name (for example, contoso.com) that users will use to connect to your organization box, enter the external host name. Verify that the Allow SSL offloading option is selected, and then click Save.

    • В командной консоли Exchange нажмите Пуск и в меню Пуск щелкните Командная консоль Exchange. В открывшемся окне введите следующую команду и нажмите клавишу ВВОД:Using the Exchange Management Shell, click Start, and then on the Start menu, click Exchange Management Shell. In the window, type the following and then press Enter:

          Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -Externalhostname ClientAccessServer1.contoso.com -ExternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic
      
  • Шаг 2 Разгрузка SSL включен по умолчанию. Тем не менее если отключено разгрузки SSL и вы хотите включить его можно использовать Центр администрирования Exchange или командной консоли Exchange:Step 2 By default, SSL offloading is enabled. However, you can use EAC or the Exchange Management Shell if SSL offloading has been disabled and you want to enable it:

    • В EAC откройте раздел Серверы, выберите имя сервера клиентского доступа, а затем нажмите кнопку Изменить. В окне Exchange Sever щелкните Outlook Anywhere, установите флажок Разрешить разгрузку SSL и нажмите кнопку Сохранить.Using EAC, go to Servers, select the name of the Client Access server in the list, and then click Edit. In the Exchange Sever window, click Outlook Anywhere, click the Allow SSL offloading option, and then click Save.

    • В командной консоли введите следующую команду и нажмите клавишу ВВОД:Using the Shell, type the following and then press Enter.

          Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -SSLOffloading $true
      
  • Шаг 3 По умолчанию Требуется SSL в виртуальном каталоге Rpc не выбран, но если вы хотите убедиться, что SSL отключена, можно использовать диспетчер Internet Information Services (IIS).Step 3 By default, Require SSL is not selected on the Rpc virtual directory, but if you want to verify that SSL is disabled, you can use Internet Information Services (IIS) Manager.

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог Rpc. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL убедитесь, что флажок Требовать SSL снят, и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Rpc virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, verify that the Require SSL check box is cleared, and then click Apply in the Actions pane.
  • Шаг 4 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 4 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeRpcProxyFrontEndAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Важно!

Необходимо дождаться того, что процесс узла службы применит все изменения из Active Directory в службах IIS (что происходит каждые 15 минут), даже если вы перезапустите службы IIS на сервере клиентского доступа.You must wait for the Service Host process to apply any changes from Active Directory to Internet Information Services (IIS) every 15 minutes even if you restart IIS on a Client Access server.

В началоReturn to top

Настройка разгрузки SSL для автономной адресной книги (OAB)Configuring SSL offloading for the Offline Address Book (OAB)

Чтобы включить разгрузку SSL для автономной адресной книги (OAB), необходимо удалить требование SSL в виртуальном каталоге OAB на веб-сайте по умолчанию:To enable SSL offloading for the Offline Address Book (OAB), you need to remove the SSL requirement on the OAB virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге автономной адресной книги , можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the OAB virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог OAB. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the OAB virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeOABAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeOABAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для Exchange ActiveSync (EAS)Configuring SSL offloading for Exchange ActiveSync (EAS)

Чтобы включить разгрузку SSL для Exchange ActiveSync (EAS), необходимо удалить требование SSL в виртуальном каталоге Microsoft-Server-ActiveSync на веб-сайте по умолчанию:To enable SSL offloading for Exchange ActiveSync (EAS), you need to remove the SSL requirement on the Microsoft-Server-ActiveSync virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге Microsoft-Server-ActiveSync можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the Microsoft-Server-ActiveSync virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог Microsoft-Server-ActiveSync. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Microsoft-Server-ActiveSync virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

          appcmd set config "Default Web Site/MSExchangeSyncAppPool" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart the Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeSyncAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeSyncAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для веб-служб Exchange (EWS)Configuring SSL offloading for Exchange Web Services (EWS)

Чтобы включить разгрузку SSL для веб-служб Exchange (EWS), необходимо удалить требование SSL в виртуальном каталоге EWS на веб-сайте по умолчанию:To enable SSL offloading for Exchange Web Services (EWS), you need to remove the SSL requirement on the EWS virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге веб-служб Exchange , можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the EWS virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог EWS. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the EWS virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeServicesAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeServicesAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для службы автообнаруженияConfiguring SSL offloading for the Autodiscover service

Чтобы включить разгрузку SSL для службы автообнаружения, необходимо удалить требование SSL в виртуальном каталоге Autodiscover на веб-сайте по умолчанию:To enable SSL offloading for the Autodiscover service, you need to remove the SSL requirement on the Autodiscover virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге автообнаружения можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the Autodiscover virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог Autodiscover. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Autodiscover virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/autodiscover" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeAutodiscoverAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeAutodiscoverAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Настройка разгрузки SSL для прокси-службы репликации почтовых ящиков (MRSProxy)Configuring SSL Offloading for the Mailbox Replication Proxy Service (MRSProxy)

Прокси-служба репликации почтовых ящиков (MRSProxy) устанавливается на каждом сервере клиентского доступа Exchange 2013. MRSProxy помогает выполнять запросы на перемещение между лесами, а также перемещать локальные почтовые ящики в Office 365. Однако по умолчанию служба MRSProxy отключена. Если вы ее включаете, то ее необходимо активировать в удаленном лесу Exchange для перемещения локальных почтовых ящиков между лесами или в локальном лесу Exchange для перемещения почтовых ящиков в Office 365. Хотя служба MRSProxy работает на основе веб-служб Exchange (EWS), она не поддерживается для настройки разгрузки SSL.The Mailbox Replication Proxy (MRSProxy) service is installed on every Exchange 2013 Client Access server. MRSProxy helps you to make cross-forest move requests on-premises as well as moving on-premises mailboxes to Office 365. However, by default, MRSProxy is disabled. If you are enabling it, you should enable it in the remote Exchange forest for cross-forest, on-premises mailbox moves or in the on-premises Exchange forest for moving a mailbox to Office 365. Although the MRSProxy service runs under Exchange Web Services (EWS), it's not supported to configure SSL offloading.

Это связано с тем, что служба MRSProxy ожидает, что трафик будет подписан или зашифрован. Любая аппаратная подсистема балансировки нагрузки или брандмауэр должны повторно шифровать трафик MRSProxy перед его отправкой на серверы клиентского доступа. В этом случае рекомендуется настроить мост SSL для реализации разгрузки.The reason for this is that the MRSProxy service expects traffic to be signed/encrypted. Any hardware load balancer or firewall must reencrypt the MRSProxy traffic before sending it to Client Access servers. If this is the case, it is recommended that you configure SSL bridging for offloading to work.

Обратное преобразование SSL или мост SSL.  Если вы включили обратное преобразование SSL или мост SSL в аппаратных подсистемах балансировки нагрузки, нет необходимости выполнять предыдущие действия на каждом сервере клиентского доступа. Однако активация обратного преобразования SSL в аппаратных подсистемах балансировки нагрузки означает, что шифрование и расшифровка SSL будет применяться на серверах клиентского доступа. В этом случае шифрование и расшифровка SSL будут выполняться в аппаратных подсистемах балансировки нагрузки и на серверах клиентского доступа. Выбор разгрузки SSL Exchange 2013 или обратного преобразования SSL (моста SSL) зависит от целей организации и рекомендаций безопасности, которые необходимо реализовать. На следующем рисунке показаны возможности подключения клиентов с включенным мостом SSL (обратное преобразование SSL).Reverse SSL or SSL Bridging If you enable reverse SSL or SSL bridging on hardware load balancers, you won't need to perform the preceding steps on each CAS server. However, enabling reverse SSL on your hardware load balancers means that SSL encryption and decryption will stay with the Client Access servers. In this case, the SSL encryption and decryption will occur on both the hardware load balancers and the Client Access servers. Choosing to use Exchange 2013 SSL offloading or reverse SSL (SSL bridging) is dependent on the organizational goals and the security practices that must be implemented. The following picture shows client connectivity with SSL bridging (reverse SSL) enabled.

![Мост SSL] (images/Dn635115.a08aacc1-0ab4-46b3-bdae-b9518a3f5748(EXCHG.150).jpg "Мост SSL")SSL Bridging

Настройка разгрузки SSL для клиентов Outlook (виртуальный каталог MAPI)Configuring SSL offloading for Outlook clients (MAPI virtual directory)

Чтобы включить разгрузку SSL для клиентов Outlook, необходимо удалить требование SSL в виртуальном каталоге MAPI на веб-сайте по умолчанию:To enable SSL offloading for Outlook clients, you need to remove the SSL requirement on the MAPI virtual directory on the Default Web Site:

  • Шаг 1 Чтобы отключить SSL в виртуальном каталоге MAPI , можно использовать диспетчер Internet Information Services (IIS) или командную строку:Step 1 You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the MAPI virtual directory:

    • В диспетчере служб IIS разверните узел Сайты > Веб-сайт по умолчанию и выберите виртуальный каталог MAPI. В области результатов в разделе IIS дважды щелкните пункт Параметры SSL. В области результатов Параметры SSL снимите флажок Требовать SSL и нажмите кнопку Применить в области действий.Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the MAPI virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • В командной строке введите следующую команду и нажмите клавишу ВВОД:Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
      
  • Шаг 2 Необходимо перезапустить соответствующий пул приложений и перезапустите службы IIS с помощью одного из следующих методов:Step 2 You need to recycle the correct application pool or restart the Internet Information Services by using one of the following methods:

    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeMapiFrontEndAppPool
      
    • Введите следующую команду Windows PowerShell и нажмите клавишу ВВОД:Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeMapiFrontEndAppPool
      
    • С помощью командной строки: перейти в Начало > выполнить, введите cmdи нажмите клавишу ВВОД. В окне командной строки введите следующую команду и нажмите клавишу ВВОД.Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • Использование диспетчера служб IIS. В диспетчере служб IIS в области действий щелкните Перезапустить.Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

В началоReturn to top

Использование скрипта для включения разгрузки SSL для всех протоколов и службUsing a script to enable SSL offloading for all protocols and services

Если вы работаете с крупной организацией со множеством серверов клиентского доступа Exchange 2013, возможно, вы захотите ускорить описанные ранее действия. Вы можете скопировать и вставить команды из следующих скриптов в Блокнот, внести изменения, сохранить файл с расширением .ps1 и выполнить их в командной консоли Exchange. В зависимости от ваших потребностей оба эти скрипта можно использовать для настройки разгрузки SSL для всех протоколов и служб на одном или нескольких серверах клиентского доступа.If you're working with a large organization with multiple Exchange 2013 Client Access servers, you might want to speed up the preceding steps that you went through. You can copy and paste the commands in either of the following scripts into Notepad, make any changes, save the file with a .ps1 extension, and then run it from the Exchange Management Shell. Depending on your needs, both of these scripts can be used to configure SSL offloading for all protocols and services for a single Client Access server or for multiple ones.

Примечание

Там, где используется командлет Set-OutlookAnywhere, замените "MyServer" на имена ваших серверов клиентского доступа.For the Set-OutlookAnywhere cmdlet entries, replace "MyServer" with the name of your Client Access server(s).

Использование Set-WebConfigurationPropertyUsing Set-WebConfigurationProperty

    Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
    Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS:  -Location "Default Web Site/OWA"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/ecp"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/EWS"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Autodiscover"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Microsoft-Server-ActiveSync"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OAB"
    Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/MAPI"
iisreset /noforce

Использование appcmdUsing appcmd

Примечание

Там, где используется командлет Set-OutlookAnywhere, замените "MyServer" на имена ваших серверов клиентского доступа.For the Set-OutlookAnywhere cmdlet entries, replace "MyServer" with the name of your Client Access server(s).

    Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
    Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Autodiscover" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Microsoft-Server-ActiveSync" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
    &$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
iisreset /noforce

В началоReturn to top

Настройка совместной работы Exchange 2007 и Exchange 2010Configuring coexistence with Exchange 2007 and Exchange 2010

В сценарии совместной работы серверов Exchange 2003 и Exchange 2010 в организации одним из первых действий после развертывания серверов клиентского доступа Exchange 2010 должно быть изменение DNS, чтобы пользователи Exchange 2003 получили доступ к своим почтовым ящикам на группе серверов клиентского доступа Exchange 2010. В таком сценарии можно включить разгрузку SSL в подсистеме балансировки нагрузки, используемой для распределения клиентского трафика по серверам клиентского доступа.During a coexistence scenario where you have a mix of Exchange 2003 and Exchange 2010 servers in the organization, one of the first steps you need to perform after deploying the Exchange 2010 Client Access Servers is to change DNS so that Exchange 2003 users access their mailboxes from a group of Exchange 2010 Client Access servers. In such a scenario, it's fully supported to enable SSL offloading on the load balancer used to distribute client traffic across the Client Access servers.

Совместная работа с другими версиями Outlook Web AppCoexistence with other versions of Outlook Web App

Если разгрузка SSL настроена на серверах клиентского доступа Exchange 2013, поддерживается совместная работа с Exchange 2007 и Exchange 2010:With SSL offloading configured on the Exchange 2013 Client Access servers, coexistence works with Exchange 2007 and Exchange 2010:

  • Для совместной работы с Exchange 2007 требуется предыдущее пространство имен, а перенаправление в него будет работать только для Outlook Web App и веб-служб Exchange. Служба автообнаружения, Outlook Anywhere и Exchange ActiveSync будут переадресованы на предыдущие версии.To coexist with Exchange 2007, an earlier namespace is required, and redirection will happen to it only for Outlook Web App and Exchange Web Services. Autodiscover, Outlook Anywhere, and Exchange ActiveSync will be proxied over to the earlier versions.

  • Для совместной работы с Exchange 2010 (если задан внешний URL-адрес) будет использоваться перенаправление. В противном случае будет использоваться прокси-сервер.To coexist with Exchange 2010, if you have the external URL set, a redirect will be used. If not, a proxy will be used.

В началоReturn to top