配置过程分为如下几步:

1.安装及配置NLB负载平衡群集

2.创建Exchange2010的CAS阵列

3.为客户端访问服务申请证书

 

1.1分别在Cas01及Cas02上安装负载平衡群集

  • Import-Module ServerManager
  • Add-WindowsFeature NLB

1.2创建负载平衡群集

在CAS1服务器上运行NLBMGR,打开网络负载平衡管理器,点击“新建”按钮,创建负载平衡群集。

clip_image002

CAS1服务器有两个网卡,群集接口使用外网通讯网卡Public

clip_image004

指定群集IP

clip_image006

 

指定该群集的FQDN,模式设置为多播。当NLB群集比较繁忙的时候,会带来可观的广播风暴,故选择多播

clip_image008

单播和多播的区别

单播:在每个群集成员上,NLB 覆盖网络适配器上制造商提供的 MAC 地址。NLB 对所有成员都使用相同的单播 MAC 地址。这种模式的优点是它可以无缝地与大多数路由器和交换机协同工作。缺点是到达群集的流量会扩散到交换机虚拟 LAN (VLAN) 上的所有端口,并且主机之间的通信不能通过 NLB 绑定到的适配器,也即实体主机间不可以互相通信。若我们在NLB创建时选择单播的模式,在“群集IP配置”中的“网络地址”是以“02 - BF”开头,后面紧跟IP地址的十六进制表示,该网络地址与实际主机的MAC地址相同,后续加入的主机也将修改为此MAC地址。

多播:保留原厂 MAC 地址不变,但是向网络适配器中增加了一个第 2 层多播 MAC 地址。所有入站流量都会到达这个多播 MAC 地址。优点是这种方法可以通过在交换机的“内容可寻址存储器”(CAM) 表中创建静态项,从而使得入站流量仅到达群集中的主机。缺点是因为 CAM 项必须静态关联一组交换机端口,如果没有这些 CAM 项,入站流量仍然会扩散到交换机 VLAN 上的所有端口。还有一个缺点就是很多路由器不会自动将单播 IP 地址(群集的虚拟 IP 地址)与多播 MAC 地址关联起来。如果进行静态配置的话,一些路由器可以存在这种关联。若我们在NLB创建时选择多播的模式,在“群集IP配置”中的“网络地址”是以“03 -BF”开头,后面紧跟IP地址的十六进制表示。在选择多播模式时,后面还有个复选项“IGMP Multicast(IGMP多播)”,若复选此项,就像多播操作模式一样,NLB 保留原厂 MAC 地址不变,但是向网络适配器中增加了一个 IGMP 多播地址。此外,NLB 主机会发出这个组的 IGMP 加入消息。如果交换机探测到这些消息,它可以使用所需的多播地址来填充自己的 CAM 表,这样入站流量就不会扩散到 VLAN 上的所有端口。这是这种群集模式的主要优点。缺点是有一些交换机不支持 IGMP 探测。除此之外,路由器仍然支持单播 IP 地址到多播 MAC 地址的转换。在IGMP多播模式下,将采用“01 – 00 - 5E”开头的MAC地址。在多播的模式下,实体主机之间可以互相通信。

clip_image010

将CAS2加入到NLB群集

clip_image012

clip_image014

clip_image016

clip_image018

 

 

2.1创建Exchange2010的CAS阵列

New-clientaccessarray -fqdn mail.vm.local -name CASarray.vm.local -site bj

创建DNS记录,将mail.vm.local指向192.168.2.27

clip_image020

 

3.1为客户端访问服务申请证书

在CAS01服务器上打开申请证书向导,为NLB中的所有CAS节点申请多域名证书

clip_image022

clip_image024

clip_image026

clip_image028

clip_image030

clip_image032

clip_image034

此处将mail.vm.com设为公用名称

clip_image036

clip_image038

在Cas01上打开IE,通过IE来申请证书,链接为:http://rootca/certsrv

clip_image040

clip_image042

clip_image044

clip_image046

clip_image048

下载证书到某个目录下。

打开Exchange 2010控制台

clip_image050

clip_image052

 

clip_image054

clip_image056

clip_image058

clip_image060

客户端主要为outlook anywhere,不需要pop3用户。

clip_image062

 

3.2证书申请完成之后的配置

申请完该多域名证书后,该证书并不能正常被使用

该问题时由于默认的ADCS无法支持多域名证书导致。

解决办法:http://support.microsoft.com/kb/931351/en-us

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

clip_image064

3.3在Cas02服务器上启用证书

在Cas01上将证书连同密钥导出

在Cas02上使用导入exchange证书,导入该证书并分配相应的服务

设置完成之后,在客户端上通过https://mail.vm.com/owa验证通过。