Planejando servidores de Acesso para Cliente
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2008-07-03
Este tópico fornece uma visão geral de considerações de planejamento para implantação da função de servidor Acesso para Cliente em um computador que esteja executando o Microsoft Exchange Server 2007. A função de servidor Acesso para Cliente oferece suporte para os aplicativos de cliente Microsoft Outlook Web Access, Outlook Em Qualquer Lugar, Microsoft Entourage 2004 e Entourage 2008 para Mac e Microsoft Exchange ActiveSync, além dos protocolos POP3 e IMAP4. Para obter mais informações sobre o Entourage 2008 para Mac, consulte o Microsoft Office 2008 for Mac Administrator’s Guide (página em inglês).
A função de servidor Acesso para Cliente também hospeda vários serviços fundamentais, como o serviço de Descoberta Automática e os Serviços da Web do Exchange.
Você deve ter a função de servidor Acesso para Cliente instalada em cada site do Active Directory na organização que contém um servidor Exchange 2007 em que a função de servidor Caixa de Correio esteja instalada. Se sua organização tiver apenas um site do Active Directory, a função de servidor Acesso para Cliente deverá estar instalada em pelo menos um computador da organização do Exchange.
Dica
Você pode instalar a função de servidor Acesso para Cliente em um computador do Exchange 2007 que esteja executando qualquer outra função de servidor, exceto a função de servidor Transporte de Borda. Não é possível instalar a função de servidor Acesso para Cliente em um computador que esteja instalado em um cluster. Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro.
Não há suporte para a instalação de um servidor de Acesso para Cliente em uma rede de perímetro. O servidor de Acesso para Cliente deve ser um membro de um domínio de serviço de diretório do Active Directory e a conta da máquina do servidor de Acesso para Cliente deve ser um membro do grupo de segurança do Exchange Server Active Directory. Esse grupo de segurança tem acesso de leitura e gravação em todos os servidores Exchange de sua organização. A comunicação entre o servidor de Acesso para Cliente e os servidores de Caixas de Correio na organização ocorre sobre RPC. Devido a esses requisitos é que não há suporte para a instalação do servidor de Acesso para Cliente em uma rede de perímetro.
Visão geral dos recursos da função de servidor Acesso para Cliente
A função de servidor Acesso para Cliente gerencia o acesso para cliente no servidor Exchange 2007. Os seguintes aplicativos clientes exigem a função de servidor Acesso para Cliente:
Exchange ActiveSync Os usuários podem estabelecer uma parceria entre o servidor Exchange e seu dispositivo móvel usando o Exchange ActiveSync. Os usuários podem sincronizar emails, contatos, tarefas e dados do calendário.
Dica
O Exchange ActiveSync pode sincronizar mensagens em todas as pastas de email que estão armazenadas no servidor Exchange, exceto nas pastas Rascunhos e Caixa de Saída.
Outlook Web Access Os usuários podem acessar os dados da caixa de correio do Exchange por um navegador da Web usando o Office Outlook Web Access. Os diretórios virtuais do Outlook Web Access estão armazenados no servidor de Acesso para Cliente.
Dica
O Outlook Web Access não é compatível com Pocket Internet Explorer em um dispositivo móvel.
Dica
O Outlook Web Access no Exchange 2007 é acessado através da URL https://servername/owa. Para acessar pastas públicas por meio do Outlook Web Access no Exchange 2007, use a URL https://servername/public. O Outlook Web Access para versões anteriores do Exchange é acessado por meio das URLs https://servername/exchange, https://servername/exchweb e https://servername/public. Se os usuários tiverem caixas de correio em um servidor Exchange 2000 ou Exchange 2003, deverão usar essas URLs herdadas.
Microsoft Office Outlook Embora o Office Outlook 2007 acesse os dados das mensagens do Microsoft Exchange diretamente no servidor de Caixa de Correio, ele depende da função de servidor Acesso para Cliente para serviços como os de Descoberta Automática e de Disponibilidade.
Outlook em Qualquer Lugar O Outlook pode se conectar à caixa de correio do Exchange pela Internet sem usar uma conexão VPN em sua rede interna, se você tiver habilitado o Outlook Em Qualquer Lugar. O Outlook Em Qualquer Lugar era conhecido anteriormente como RPC sobre HTTP.
Clientes POP3 e IMAP4 Se os usuários se conectarem ao Exchange 2007 usando um cliente POP3 ou IMAP4, as conexões serão transmitidas pelo servidor de Acesso para Cliente. Quando o Exchange 2007 é instalado, todos os serviços necessários para o POP3 e o IMAP4 são instalados. No entanto, eles estão desabilitados. Para usar o POP3 ou o IMAP4 para se conectar ao Exchange 2007, você deve habilitar o serviço POP3 ou IMAP4.
Além de fornecer um ponto de conexão para aplicativos clientes, a função de servidor Acesso para Cliente fornece suporte para os seguintes serviços:
Serviço de Descoberta Automática O Exchange 2007 inclui um novo serviço do Microsoft Exchange chamado Descoberta Automática. O serviço de Descoberta Automática configura computadores clientes que executam o Outlook 2007. O serviço de Descoberta Automática também pode configurar dispositivos móveis aceitos. O serviço de Descoberta Automática fornece acesso a recursos do Microsoft Exchange para clientes Outlook 2007 conectados ao seu ambiente de sistema de mensagens do Exchange. O serviço de Descoberta Automática deve ser implantado e configurado corretamente para que clientes Outlook 2007 se conectem automaticamente a recursos do Microsoft Exchange, como o catálogo de endereços offline, o serviço de Disponibilidade e a UM (Unificação de Mensagens). Além disso, esses recursos do Exchange devem ser configurados corretamente para oferecer acesso externo para clientes Outlook 2007. Para obter mais informações, consulte Como configurar os serviços do Exchange do serviço de Descoberta Automática.
Serviços da Web do Exchange Os Serviços da Web do Exchange fornecem a funcionalidade para habilitar aplicativos clientes para se comunicar com o servidor Exchange. Os Serviços da Web do Exchange fornecem acesso à maioria dos mesmos dados disponibilizados por meio do Outlook. Os clientes dos Serviços da Web do Exchange podem integrar os dados do Outlook em aplicativos LOB (linha de negócios). Os aplicativos LOB que usam os Serviços da Web do Exchange podem usar o serviço de Descoberta Automática para obter configurações de perfil para um determinado cliente.
Compreendendo as diferenças entre um servidor front-end e um servidor de Acesso para Cliente
As versões anteriores do Microsoft Exchange ofereciam suporte a um servidor front-end na organização. Um computador que esteja executando a função de servidor Acesso para Cliente do Exchange 2007 é muito diferente de um servidor front-end do Exchange 2003. Nas versões anteriores do Microsoft Exchange, o servidor front-end aceitava solicitações de clientes e as enviava para o servidor back-end apropriado para processamento. Isso aumentava a capacidade para o número de sessões clientes simultâneas na organização e diminuía a carga no servidor back-end que hospedava as caixas de correio. Um servidor front-end normalmente ficava localizado em uma rede de perímetro entre os firewalls externo e interno. Uma das principais vantagens de um servidor front-end era a capacidade de expor um namespace consistente e único quando havia vários servidores back-end. Sem um servidor front-end, os usuários do Outlook Web Access teriam de saber o nome do servidor que armazenava sua caixa de correio. Com a inclusão de um servidor front-end, os usuários podiam acessar uma única URL para Outlook Web Access. O servidor front-end fazia proxy da solicitação do usuário para o servidor back-end apropriado.
No Exchange 2007, a função de servidor Acesso para Cliente foi projetada especificamente para otimizar o desempenho da função de servidor Caixa de Correio, manipulando a maior parte do processamento que ocorria anteriormente nos servidores back-end. Os processos lógicos comerciais, como as diretivas de caixas de correio do Exchange ActiveSync e a segmentação do Outlook Web Access, agora são executados no servidor de Acesso para Cliente em vez de no servidor de Caixa de Correio. Como a função de servidor Caixa de Correio depende da função de servidor Acesso para Cliente para manipular as conexões de entrada do cliente, todo site do Active Directory que tiver um servidor de Caixa de Correio deverá ter também um servidor de Acesso para Cliente. Ambas as funções podem ser executadas em um computador físico. Se você tiver vários sites do Active Directory e desejar uma única URL externa para o Outlook Web Access ou o Exchange ActiveSync, deverá configurar os servidores de Acesso para Cliente para proxy.
Um computador do Exchange 2007 que esteja executando a função de servidor Acesso para Cliente usa o protocolo RPC do Exchange para se conectar ao servidor de Caixa de Correio que ele atende. Você deve usar uma conexão de largura de banda alta e de latência baixa entre o servidor de Acesso para Cliente e o servidor de Caixa de Correio. A largura de banda mínima recomendada é de 100 Mbps, mas conexões de 1 Gpbs devem ser consideradas para as centrais de dados da empresa.
Considerações de planejamento para o Exchange ActiveSync
O Exchange ActiveSync é um protocolo de sincronização do Microsoft Exchange otimizado para funcionar junto com redes de alta latência e baixa largura de banda. O Exchange ActiveSync baseia-se em HTTP e XML e permite que dispositivos como celulares habilitados para navegador ou dispositivos com Microsoft Windows Mobile acessem informações de uma organização em um servidor que esteja executando o Microsoft Exchange. O Exchange ActiveSync permite que usuários de dispositivos móveis acessem seus emails, calendários, contatos e tarefas, e continuem a acessar essas informações enquanto estiverem trabalhando offline.
Dica
O Exchange ActiveSync pode sincronizar mensagens de email, itens de calendário, contatos e tarefas. Você não pode usar o Exchange ActiveSync para sincronizar anotações no Outlook.
Ao implantar o Exchange ActiveSync, considere os seguintes problemas:
Dispositivos do Exchange ActiveSync Há vários dispositivos que oferecem suporte ao Exchange ActiveSync. Esses dispositivos incluem dispositivos com Windows Mobile e outros dispositivos de terceiros. Para obter mais informações sobre os dispositivos que oferecem suporte ao Exchange ActiveSync, consulte Dispositivos e recursos compatíveis do ActiveSync.
Planos de dados do dispositivo O Exchange ActiveSync usa um processo conhecido como Direct Push para manter os dados do sistema de mensagens sincronizados com os dispositivos móveis. Com o Direct Push, os dados são trocados por conexões do celular. Se os planos de dados dos usuários cobrarem por minuto ou megabyte, o custo mensal poderá aumentar rapidamente. Para usar o Direct Push com Exchange ActiveSync, os usuários devem ter um plano de dados ilimitado com a operadora do celular.
Dica
O Direct Push não funciona em uma conexão Wi-Fi de Internet, como uma conexão 802.11b. O Direct Push funciona apenas com uma conexão de dados do celular.
Segurança do Exchange ActiveSync Você deve ter um plano de segurança pronto ao implantar o Exchange ActiveSync. É altamente recomendável o uso de SSL (Secure Sockets Layer) com o Exchange ActiveSync. Por padrão, ao instalar o Exchange 2007, o Exchange ActiveSync é habilitado para os usuários. O diretório virtual do Exchange ActiveSync é configurado para usar Autenticação básica com SSL. Você pode configurar o diretório virtual do Exchange ActiveSync para usar Autenticação integrada do Windows ou autenticação baseada em certificado.
Além de configurar a autenticação, recomendamos a implantação das diretivas de caixas de correio do Exchange ActiveSync para controlar uma variedade de configurações para os usuários móveis e seus dispositivos. Você pode exigir uma senha, permitir ou bloquear downloads de anexos, exigir criptografia do dispositivo, especificar o número máximo de falhas em tentativas de senha e habilitar a recuperação de senha. Para obter mais informações sobre as diretivas de caixas de correio do Exchange ActiveSync, consulte Noções básicas sobre diretivas de caixa de correio do Exchange ActiveSync.
Migrando do Exchange Server 2003 para o Exchange Server 2007 Se você estiver migrando do Exchange Server 2003 para o Exchange 2007, recomendamos primeiro atualizar os servidores front-end para a função de servidor Acesso para Cliente. Você deve habilitar a Autenticação integrada do Windows no servidor back-end do Exchange Server 2003 para que o Exchange ActiveSync funcione corretamente. Depois de migrar todos os servidores front-end para o Exchange 2007, você pode migrar seus servidores back-end para os servidores de Caixa de Correio do Exchange 2007.
Considerações de planejamento para o Outlook Web Access
O Outlook Web Access usa um navegador da Internet para fornecer acesso às informações do Exchange. O Outlook Web Access tem uma interface avançada e intuitiva que se assemelha ao Outlook 2007 sem a necessidade de instalar o Outlook 2007 no computador. Ao implantar a infra-estrutura do sistema de mensagens do Exchange para acesso externo baseado na Internet, os usuários podem usar qualquer computador, em qualquer local, que tenha um navegador da Internet que aceite os formatos HTML 3.2 e ECMA (European Computer Manufacturers Association). Tais navegadores incluem o Internet Explorer, o Mozilla Firefox 1.8, o Opera 7.54 e o Safari 1.2, entre outros.
O Outlook Web Access aceita a maioria dos recursos encontrados no Outlook 2007. Por padrão, todos os recursos do cliente estão habilitados. Para obter mais informações sobre os recursos de cliente disponíveis no Outlook Web Access, consulteRecursos de cliente no Outlook Web Access.
Você pode desejar limitar os recursos disponíveis aos usuários por meio do Outlook Web Access, dependendo das necessidades de segurança e de gerenciamento de informações de sua organização. Para obter informações sobre como habilitar e desabilitar recursos usando o Console de Gerenciamento do Exchange e o Shell de Gerenciamento do Exchange, consulte Gerenciando o Outlook Web Access.
O Outlook Web Access para Exchange 2007 oferece vários aprimoramentos para segurança. Você pode configurar SSL no diretório virtual do Outlook Web Access, além da autenticação padrão e baseada em formulários. Você pode configurar os seguintes métodos de autenticação para o Outlook Web Access, usando o Console de Gerenciamento do Exchange ou o Shell de Gerenciamento do Exchange:
Métodos de autenticação padrão Os métodos de autenticação padrão abrangem a Autenticação integrada do Windows, a Autenticação resumida e a Autenticação básica. Para obter mais informações sobre como configurar métodos de autenticação padrão do Outlook Web Access, consulte Configurando métodos de autenticação padrão para o Outlook Web Access.
Autenticação baseada em formulários A autenticação baseada em formulários cria uma página de logon para o Outlook Web Access. A autenticação baseada em formulários usa cookies para armazenar as informações criptografadas das credenciais e da senha de logon do usuário. Para obter mais informações sobre autenticação baseada em formulários, consulte Configurando a autenticação baseada em formulários para o Outlook Web Access.
Dica
Se você configurar vários métodos de autenticação, o IIS usará primeiro o método mais seguro. Em seguida, o IIS pesquisará a lista de protocolos de autenticação disponíveis, começando pelo mais seguro, até encontrar um método de autenticação aceito pelo cliente e pelo servidor.
Por padrão, quando você instala a função de servidor Acesso para Cliente em um servidor Exchange 2007, quatro diretórios virtuais do Outlook Web Access são criados no site IIS (Serviços de Informações da Internet) padrão, no servidor Exchange. Por padrão, esses diretórios virtuais e o site padrão são configurados para exigir SSL. Para obter mais informações sobre como configurar SSL para Outlook Web Access, consulte Como configurar diretórios virtuais do Outlook Web Access para usar SSL.
Se você desejar usar SSL para ajudar a proteger diretórios virtuais ou sites adicionais do Outlook Web Access, deverá fazer isso manualmente. Para configurar um site para usar SSL, você deverá obter um certificado e configurar o site ou diretório virtual para exigir SSL usando esse certificado.
Considerações de planejamento para o Outlook em Qualquer Lugar
O Outlook em Qualquer Lugar permite que os usuários que estejam executando o Outlook 2007 ou o Outlook 2003 se conectem à infra-estrutura do sistema de mensagens do Microsoft Exchange a partir da Internet usando a tecnologia de rede do Outlook em Qualquer Lugar.
Depois de instalar a função de servidor Acesso para Cliente em um computador que esteja executando o Exchange Server 2007, você poderá habilitar o Outlook em Qualquer Lugar em sua organização usando o assistente para Habilitar o Outlook em Qualquer Lugar em qualquer servidor de Acesso para Cliente em sua organização. Recomendamos habilitar pelo menos um servidor de Acesso para Cliente para acesso ao Outlook em Qualquer Lugar por site gerenciado.
Antes de planejar a implantação do Outlook em Qualquer Lugar, certifique-se de ler os seguintes tópicos:
Considerações de planejamento para POP3 e IMAP4
O Exchange 2007 fornece suporte para clientes que usam os protocolos POP3 e IMAP4. No entanto, por padrão os serviços POP3 e IMAP4 não são iniciados no Exchange 2007. Para usar esses protocolos, você dever primeiro iniciar os serviços POP3 e IMAP4 no servidor de Acesso para Cliente.
Se você tiver de administrar protocolos POP3 e IMAP4 na versão original (RTM) do Microsoft Exchange Server 2007, executará todas as tarefas administrativas do Shell de Gerenciamento do Exchange. No Exchange 2007 Service Pack 1 (SP1), você pode gerenciar as configurações dos protocolos POP3 e IMAP4 usando o Console de Gerenciamento do Exchange.
Para obter mais informações sobre como gerenciar os protocolos POP3 e IMAP4, consulte Gerenciando POP3 e IMAP4.
Ao implantar os servidores de Acesso para Cliente para aceitar clientes POP3 e IMAP4, haverá limitações físicas e de segurança se você usar versões anteriores do Microsoft Exchange, como o Exchange Server 2003. A principal limitação física ao implantar POP3 e IMAP4 é que a comunicação entre sites entre servidores de Acesso para Cliente e servidores de Caixa de Correio em sites separados do Active Directory não é aceita. Você deve verificar se os clientes estão se conectando ao servidor de Acesso para Cliente que está localizado no mesmo site do servidor de Caixa de Correio que contém a caixa de correio.
Dica
Se os servidores de Acesso para Cliente nos site do Active Directory estiverem executando o Exchange 2007, você poderá habilitar a conectividade entre sites para os seus clientes POP3 e IMAP4. Para obter mais informações, consulte Como habilitar a conectividade entre sites para clientes POP3 e IMAP4.
Considerações de planejamento para os Serviços da Web do Exchange 2007
Um servidor de Acesso para Cliente do Exchange 2007 oferece suporte a dois serviços da Web: Os Serviços da Web do Exchange e o serviço de Descoberta Automática.
Os Serviços da Web do Exchange fornecem acesso a:
Informações sobre disponibilidade, sugestões de reuniões e funcionalidade de Ausência Temporária.
Calendário, email, contato, pasta e itens de tarefas em uma caixa de correio de usuário.
Notificações sobre eventos que ocorrem em uma caixa de correio de usuário.
Recursos de sincronização para sincronizar clientes com a caixa de correio associada.
Resolução de nomes ambíguos.
Expansão de lista de distribuição.
O serviço de Descoberta Automática habilita clientes, como o Outlook, aplicativos personalizados e alguns dispositivos móveis, a obter configurações para uma variedade de serviços, como o serviço de Disponibilidade, a Unificação de Mensagens e o OAB (catálogo de endereços offline). Os clientes tentam se conectar ao serviço de Descoberta Automática por meio de duas URLs baseadas no endereço SMTP do usuário. As duas URLs são as seguintes:
https://autodiscover.<domínio>/autodiscover/autodiscover.xml
https://<domínio>/autodiscover/autodiscover.xml
O Outlook envia uma solicitação XML que inclui o endereço de email do usuário. O serviço de Descoberta Automática retorna informações de configuração sobre o usuário, além das URLs e configurações usadas para conectar a vários serviços. Os Serviços da Web do Exchange fornecem também uma API do desenvolvedor para clientes e parceiros a fim de gravar seus próprios aplicativos personalizados. Esses aplicativos personalizados podem interagir com os dados da caixa de correio do Exchange.
Planejamento de segurança para servidores de Acesso para Cliente
Há várias coisas a serem consideradas ao planejar um ambiente seguro para o sistema de mensagens. Fatores como anexos de email e acesso a dados corporativos internos e externos é que tornam importante considerar várias precauções de segurança antes de implantar o ambiente do sistema de mensagens. Recomendamos o uso da criptografia SSL para todos os recursos de Acesso para Cliente, incluindo o Outlook Web Access e o Outlook em Qualquer Lugar. Além disso, recomendamos selecionar um método de autenticação, como a Autenticação integrada do Windows, em vez da Autenticação básica. A Autenticação básica transmite nomes de usuário e senhas em texto não criptografado. Optar por um método de autenticação alternativa aumenta a segurança na comunicação. Você pode personalizar cada recurso do Acesso para Cliente para usar mecanismos de segurança diferentes.
Um método para ajudar a tornar o ambiente do sistema de mensagens mais seguro é implantar uma solução de servidor de firewall avançada, como o Microsoft Internet Security and Acceleration (ISA) Server 2006. O ISA Server 2006 ajuda a fornecer um nível adicional de segurança e pode também aprimorar a funcionalidade do cliente por meio de novos recursos projetados para o Exchange 2007 e o ISA Server 2006. Para obter mais informações sobre como usar o ISA Server 2006 junto com o Exchange 2007, consulte Configurando o ISA Server 2006 para Acesso para Cliente do Exchange.