Настройка Autodiscover для своего почтового сервера
Разберем процесс создания инфраструктуры для автоматической настройки почтовых клиентов. Для корректной работы Autodiscover нужен комплексный подход, так как у разных почтовых клиентов свои требования.
1. Microsoft Outlook
Для автоматической настройки почтового клиента, идет https POST-запрос к документу autodiscover.xml. При этом, Outlook сначала попробует найти сервер по записи в DNS autodiscover.server.domain, затем к просто к домену server.domain и затем — к SRV-записи _autodiscover._tcp.server.domain. Таким образом, необходимо настроить DNS и веб-сервер.
С DNS все просто — создаем А- (или CNAME-) и SRV-записи. Пример таких записей в bind:
autodiscover IN A 111.111.111.111
* где 111.111.111.111 — IP-адрес на наш веб-сервер, который будет возвращать документ XML.
_autodiscover._tcp IN SRV 0 0 443 autodiscover.dmosk.ru.
* где autodiscover.dmosk.ru — наша запись autodiscover в домене dmosk.ru.
Веб-сервер
В качестве примера, настройку выполним на веб-сервере NGINX, который работает на Linux. Если он не установлен, выполняем инсталляцию.
а) если сервер под CentOS / Red Hat:
yum install epel-release
б) если сервер под Debian / Ubuntu:
apt-get install nginx
После разрешаем автозапуск и стартуем сервис:
systemctl enable nginx
systemctl start nginx
Затем создаем виртуальный домен:
server <
listen 443;
server_name autodiscover.dmosk.ru;
root /usr/share/nginx/html/autodiscover;
ssl on;
ssl_certificate /etc/letsencrypt/live/dmosk.ru/cert.pem;
ssl_certificate_key /etc/letsencrypt/live/dmosk.ru/privkey.pem;
* данная настройка позволит нашему серверу nginx принимать запросы на 443 порту (https); в качестве домашней директории мы будем использовать каталог /usr/share/nginx/html/autodiscover, куда и поместим нужный нам XML; /etc/letsencrypt/live/dmosk.ru/cert.pem и /etc/letsencrypt/live/dmosk.ru/privkey.pem — пути до сертификатов (в данном примере я использовал сертификаты от Let’s encrypt — чтобы их получить, читайте статью Получение бесплатного SSL сертификата Let’s Encrypt). Так как NGINX запрещает POST-запросы к статическим файлам, возвращая ошибку 405, мы будем ее игнорировать, заменяя кодом 200.
Проверяем корректность настройки:
Если ошибок нет, перечитываем конфиг:
systemctl reload nginx
Создаем каталог, в котором будет наш XML:
* где из основных параметров на нужны:
Открываем браузер и переходим по адресу https://autodiscover.dmosk.ru/autodiscover/autodiscover.xml, где вместо dmosk.ru должен быть Ваш домен. Мы должны увидеть наш XML.
Теперь открываем MS Outlook и получаем автоматически настройки для info@dmosk.ru.
Все адреса
Наш файл конфигурации рассчитан только на настройку одного адреса. Теперь нужно настроить его на обслуживание любого email. Для этого необходимо написать скрипт, например, на php и немного донастроить сервер.
PHP и php-fpm
Установим php и php-fpm, после разрешаем автозапуск php-fpm и стартуем его:
а) если сервер под CentOS / Red Hat:
yum install php php-fpm
systemctl enable php-fpm
systemctl start php-fpm
б) если сервер под Debian / Ubuntu:
apt-get install php php-fpm
systemctl enable php7.2-fpm
systemctl start php7.2-fpm
Настроим php-fpm
а) если сервер под CentOS / Red Hat:
systemctl restart php-fpm
б) если сервер под Debian / Ubuntu:
systemctl restart php7.2-fpm
NGINX
Внесем настройки в наш виртуальный домен:
* мы добавили обработку скриптов php с помощью php-fpm.
Перезапускаем наш сервер:
systemctl reload nginx
Готовим скрипт
Создадим скрипт php:
Открываем браузер и переходим по адресу https://autodiscover.dmosk.ru/autodiscover/autodiscover.php — должен загрузиться XML-документ. В тегах LoginName должно быть пусто.
Переадресация с xml на php
Теперь настроим, чтобы наш веб-сервер переводил запросы xml на наш скрипт php. Открываем настройку нашего виртуального домена:
.
location = /autodiscover/autodiscover.xml <
rewrite ^/autodiscover/autodiscover.xml$ /autodiscover/autodiscover.php;
>
.
systemctl reload nginx
Открываем браузер и переходим по адресу https://autodiscover.dmosk.ru/autodiscover/autodiscover.xml — должен загрузиться XML-документ. В тегах LoginName должно быть пусто. Значит перенаправление сработало.
Теперь можно открывать Outlook и проверять автонастройку для других почтовых ящиков.
2. Mozilla Thunderbird
Механизм автонастройки от Mozilla похож на Microsoft. Необходимые настройки должны отдаваться веб-сервером в виде XML-документа. Однако запрос не https, а http; и не POST, а GET. Также обращение идет сначала в формате server.domain/mail/config-v1.1.xml?emailaddress=user@server.domain, и если ответ не будет получен — autoconfig.server.domain/mail/config-v1.1.xml?emailaddress=user@server.domain.
Также, как с Outlook, необходимо настроить DNS и веб-сервер.
создаем А-запись (или CNAME). Пример в bind:
autoconfig IN A 111.111.111.111
* где 111.111.111.111 — IP-адрес на наш веб-сервер, который будет возвращать документ XML.
Веб-сервер
Настраивая autodiscovery для Microsoft, мы уже настроили веб-сервер NGINX. Теперь нужно добавить виртуальный домен и создать соответствующий документ.
Откроем уже созданный нами файл конфигурации:
server <
listen 80;
server_name autoconfig.dmosk.ru;
root /usr/share/nginx/html/autodiscover;
>
Создаем каталог для хранения XML:
3. DNS SRV
Это метод, призванный быть универсальным. Более того, он описан стандартом RFC.
Суть заключается в создании SRV-записей в DNS. Данная запись создается по следующему синтаксису:
Пример записей для настройки почты:
| Запись | Приоритет | Вес | Порт | Хост | Описание |
| _smtp._tcp | 10 | 10 | 25 | smtp.dmosk.ru. | Протокол для отправки почты на другие серверы. |
| _pop3._tcp | 10 | 10 | 110 | pop.dmosk.ru. | Загрузка почты с сервера. |
| _imap._tcp | 10 | 10 | 143 | imap.dmosk.ru. | Работа с почтой на удаленном сервере. |
| _smtps._tcp | 30 | 10 | 465 | smtp.dmosk.ru. | Отправки почты с защитой соединения. |
| _submission._tcp | 20 | 10 | 587 | smtp.dmosk.ru. | Отправки почты с защитой соединения. |
| _imaps._tcp | 20 | 10 | 993 | imap.dmosk.ru. | Работа с почтой с защитой соединения. |
| _pop3s._tcp | 20 | 10 | 995 | pop.dmosk.ru. | Загрузка почты с защитой соединения. |
* в данном примере мы отдаем приоритет более защищенным средствам подключения (smtps, imaps, pop3s).
Медленный Exchange Autodiscover в Outlook 2016
Функция автоматического обнаружения (Autodiscover) появилась еще в Exchange Server 2007. Основанная задача Autodiscover – возможность поиска почтовым клиентом почтового сервера Exchange и автоматического подключения почтового ящика. От пользователя Outlook нужно только указать свое email и пароль, все остальное Outlook при помощи Autodiscover выполнит сам.
При тестировании нового почтового клиента Outlook 2016 при внешнем подключении к Exchange было замечено, что автоматическая настройка клиента может занимать несколько минут (в нашем случае около 8 мин). Проблема заключается в том, что Autodiscover отрабатывает слишком долго.
Чтобы разобраться с проблемой, нужно понимать порядок работы Autodiscover. Для корректной работы автоматического обнаружения клиент любым доступным способом должен получить XML файл с настройками и автоматически настроится согласно этим параметрам.
Клиенты Outlook 2007 и выше при первоначальной настройке пытаются обнаружить файл Autodiscover.xml несколькими способами, порядок перебора которых жестко запрограммирован в Outlook. Последовательно перебираются следующие варианты:
Outlook последовательно перебирает эти методы, и если успешный ответ получен, дальнейшие проверки не выполняются. Если ни один из методов не вернул ответа, процедура Autodiscover считается проваленной.
Чтобы убрать эту проблему, нужно чтобы имя домена вело на сайт или любой веб сервер с доступным 443 портом. В этом случае Outlook за несколько мгновений поймет, что этот способ автообнаружения не доступен и перейдет к следующему. Для этого в корне DNS своего домена нужно создать запись @, которая будет указывать на IP адрес вашего сайта.
Если этот способ по какой-то причине не применим, можно с помощью редактирования реестра заставить Outlook 2016 пропускать определенные типы проверок. Для этого в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover\ нужно создать ключ типа DWORD со значением 1. Возможные имена ключей (имена говорят сами за себя):
Т.е. чтобы отключить 2 тип проверки (HTTPS запрос к корневому домену) нужно создать ключ с именем ExcludeHttpsRootDomain и значением 1.
Аналогично создается параметр с именем ExcludeHttpsAutoDiscoverDomain.
Таким образом, можно заставить Outlook 2016 пропускать все не доступные методы Autodiscover. В результате, при запуске Outlook эта проверка не будет выполняться, и сам процесс Autodiscover и первого запуска Outlook выполняться значительно быстрее.
Виртуальный каталог Autodiscover
В этой статье я сделаю акцент на наиболее частых вопросах и проблемах, которые мне встретились на форумах Technet.
Найти больше информации по настройке и администрированию Exchange 2013 на моем блоге вы сможете в основной статье тематики — Exchange 2013 — Установка, настройка, администрирование.
Виртуальный каталог Autodiscover
Задача сервиса Autodiscover — минимизировать действия пользователя по настройке почтовых клиентов. Предоставляя понятный и удобный алгоритм автоматической конфигурации, Exchange Server ограничивает объем необходимых данных вводом всего лишь адреса электронной почты и пароля.
Клиент обращается к серверу, чтобы получить следующие данные 1 :
Тем не менее, вопросы чаще всего возникают в том, каким образом клиент понимает к какому серверу подключаться 2 . Множество настроек, часть из которых тянутся с предыдущих версий Exchange, не способствуют лучшему пониманию.
Виртуальный каталог Autodiscover по умолчанию имеет название Autodiscover (Default Web Site). Через EAC нам доступен минимум параметров, которые для него можно поменять. Во многих случаях это и не требуется. Однако есть мнение, что для него нужно устанавливать InternalUrl и ExternalUrl, но на самом деле это не так. Ниже разберемся почему.
Клиент НЕ присоединен к домену
В качестве клиента будет рассматриваться всем знакомый Outlook. Допустим вы уже ввели свой email-адрес и пароль. На основе домена, взятого из почтового адреса, клиент генерирует список возможных точек подключения.
Точки подключения — это URL-адреса, обратившись к которым, как полагает клиент, он сможет получить необходимые ему настройки 3 (первая, которая ответит):
Если ни одна из них не ответит, клиент сделает последние попытки использовать другие методы:
Поскольку допустимые варианты URL жестко зашиты в логику работы клиента, мы приходим к одному важному выводу. А именно: URL-адреса, которые вы вписываете в параметры InternalUrl и ExternalUrl виртуального каталога автообнаружения не нужны, потому что не используются. Видимо именно поэтому их убрали из доступных настроек в ECP:
В то время как у других виртуальных каталогов они доступны для изменения. На устаревший функционал этих настроек Autodiscover также прямо намекает справочная страница командлета Set-AutodiscoverVirtualDirectory 4 :
This parameter is available or functional only in Exchange Server 2010.
С вашей стороны нужно позаботиться о том, чтобы как минимум на одной точке подключения клиент мог получить данные автоконфигурации. Также рекомендуемым сценарием является настройка Split DNS (подробнее читайте в статье Exchange Server и Split DNS), чтобы клиенты внутри и снаружи сети подключались по одним и тем же именам.
Не забывайте, что Autodiscover работает по протоколу https и ему необходим валидный сертификат, который должен содержать имя активной точки подключения.
Для клиентов, которые не введены в домен, порядок подключения одинаков как при нахождении в локальной сети предприятия, так и снаружи. Для доменных клиентов ситуация обстоит намного интереснее.
Клиент присоединен к домену
Для доменных клиентов внутри периметра локальной сети предприятия предпочтительным вариантом является поиск Service Connection Point (SCP), которая публикуется в Active Directory. Найти SCP вы можете в редакторе adsiedit.msc (подключитесь к Configuration Naming Context). Полный путь до объекта будет примерно следующим:
А вот и сам объект:
Настраивать SCP необходимо для каждого сервера Exchange с помощью командлета Set-ClientAccessService 5 и его параметра AutoDiscoverServiceInternalUri 6 :
Заметьте, что виртуальный каталог Autodiscover в случае с SCP не принимает никакого участия — необходимые URL устанавливаются на уровне роли CAS. Сам алгоритм Autodiscover выглядит следующим образом 7 :
Таким образом, легкий на первый взгляд процесс автонастройки клиентов представляет из себя достаточно запутанный механизм из правил, условий и исключений.
Рекомендации по настройке
Рассмотрев выше тонкости настройки механизма Autodiscover, можно сделать ряд важных выводов и рекомендаций относительно конфигурирования серверов Exchange:
На этом все. Успехов вам в администрировании!
В статье я попытался рассказать о достаточно известной и освещенной теме, но подойдя к ней немного с другой стороны. Не стесняйтесь поправлять меня, если вдруг я что-то умолчал или где-то дезинформировал.
Неожиданное поведение автообнаружения, когда есть настройки в разделе \Autodiscover
Симптомы
Когда Microsoft Outlook пытается извлечь данные автообнаружения с сервера, на котором работает Microsoft Exchange Server, могут возникнуть непредвиденные результаты, если вы используете одно или несколько доступных значений реестра, которые можно использовать для управления автообнаружением.
Причина
Когда Outlook пытается связаться со службой автообнаружения на сервере Exchange с ролью сервера клиентского доступа (CAS), он может использовать несколько различных методов для доступа к службе в зависимости от топологии клиент-сервер. В настоящее время реализованы следующие методы, используемые в Outlook:
По умолчанию, Outlook использует один или несколько из этих методов, если он не может получить доступ к службе автообнаружения. Например, в сценарии с компьютером, не присоединенным к домену, Outlook попытается подключиться к предварительно определенным URL-адресам (например, https://autodiscover.contoso.com/autodiscover/autodiscover.xml ) с помощью DNS-сервера. В случае неудачи Outlook попробует использовать метод перенаправления HTTP. Если это тоже не удается, Outlook попытается использовать метод поиска записей SRV. В случае неудачного использования всех методов поиска Outlook не сможет получить настройку мобильного Outlook и параметры URL-адреса.
Дополнительные сведения о различных методах подключения к службе автообнаружения, используемых в Outlook, см. в следующих документах о службе автообнаружения Exchange:
Однако в некоторых сценариях для получения доступа к службе автообнаружения может потребоваться использование значений реестра/политики, связанные с автообнаружением, для управления методами, используемыми в Outlook. Однако, если неправильно настроить значения реестра/политики автообнаружения, вы можете помешать Outlook получать информацию автообнаружения.
Решение
Чтобы решить эту проблему, просмотрите данные реестра, связанные с автообнаружением, которые могут храниться в вашем клиенте Outlook, чтобы убедиться, что эти данные настроены правильно. Кроме того, если вы не уверены в том, нужны ли данные реестра, рассмотрите возможность изменения данных для любого из этих значений реестра на ноль (0), а затем протестируйте Outlook, чтобы увидеть, есть ли разница в автообнаружении.
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт: 322756 Создание резервной копии и восстановление реестра Windows
Откройте редактор реестра.
Найдите и выделите следующий подраздел реестра:
x.0 в этом маршруте реестра соответствует версии Outlook (16.0 = Outlook 2016, 15.0 = Outlook 2013, 14.0 = Outlook 2010, 12.0 = Outlook 2007).
Просмотрите следующие возможные значения DWORD, которые могут быть расположены под ключом \Autodiscover.
Это значение позволяет администраторам Exchange указать, будут ли пользователи проходить проверку подлинности с использованием электронной почты настроенной учетной записи или имени-субъекта пользователя (UPN) во время сценариев автообнаружения. Для получения дополнительной информации см. Обновление для Outlook 2016 от 5 ноября 2019 г. (KB4484139).
ExcludeLastKnownGoodURL (применяется только к версии Outlook 2010 14.0.7140.5001 и более поздним версиям)
ExcludeExplicitO365Endpoint (применяется только к версии Outlook 2016 16.0.6741.2017 и более поздним версиям)
В некоторых документах указывается, что в этом сценарии Outlook использует ExcludeSrvLookupvalue. К сожалению, эта документация неверна, так как значение ExcludeSrvLookup не существует в коде Outlook. Только значение ExcludeSrvRecordregistry используется Outlook для управления поиском записей SRV для автообнаружения. Поэтому, если вы обнаружите значение ExcludeSrvLookup под подразделом \Autodiscover, вы можете изменить его значение до 0.
Повторите шаг 3, используя следующий подраздел реестра:
x.0 в этом маршруте реестра соответствует версии Outlook (16.0 = Outlook 2016, 15.0 = Outlook 2013, 14.0 = Outlook 2010, 12.0 = Outlook 2007).
Дополнительная информация
Вы можете использовать следующие шаги в Outlook, чтобы определить метод, с помощью которого Outlook пытается извлечь данные автообнаружения из Exchange:
На следующем рисунке отображается вкладка Журнал, если для параметров ExcludeScpLookup и ExcludeHttpsAutoDiscoverDomain установлено значение «1».
Сравните эту информацию, когда только значение ExcludeScpLookup установлено до 1.
Игнорируйте ошибки на этих рисунках, потому что эта информация предназначена только для того, чтобы показать различные попытки поиска, предпринимаемые Outlook.
Кроме того, если вы включите ведение журнала в Outlook (2007 или 2010), различные попытки поиска автообнаружения можно найти в файле %temp%\Olkdisc.log. Этот файл журнала также содержит все параметры реестра, которые вы настроили для исключения любых методов поиска автообнаружения. На следующем рисунке четко видно, что значения ExcludeScpLookup и ExcludeHttpsAutoDiscoverDomain равны 1.
Для получения дополнительной информации об управлении и администрировании автообнаружения на стороне клиента перейдите к следующей статье базы знаний:
Служба автообнаружения
Применяется к: Exchange Server 2013 г.
Узнайте о службе автоматического Exchange для Microsoft Exchange 2013 г. Вы узнаете, что Exchange автооткрывка и как она работает, а также какие параметры развертывания.
Microsoft Exchange 2013 включает службу с именем службы автооткрытия. В этом разделе представлен обзор службы и рассказывается, как она работает, как она настраивает Outlook клиентов и какие существуют варианты развертывания службы автообнаружение в среде обмена сообщениями.
Служба автооткрытия делает следующее:
Автоматически настраивает параметры профилей пользователей для клиентов Microsoft Office Outlook 2007, Outlook 2010 или Outlook 2013 г., а также поддерживаемые мобильные телефоны. Поддерживаются Windows mobile 6.1 или более поздней версии. Если телефон не является мобильным Windows, проверьте документацию по мобильному телефону, чтобы узнать, поддерживается ли он.
Предоставляет доступ к Exchange для Outlook 2007, Outlook 2010 или Outlook 2013 годов, подключенных к среде Exchange обмена сообщениями.
Использует адрес электронной почты и пароль пользователя для предоставления параметров профиля для Outlook 2007, Outlook 2010 или Outlook 2013 и поддерживаемых мобильных телефонов. Если Outlook присоединяется к домену, используется учетная запись домена пользователя.
Обзор службы автообнаружия
Служба автооткрытия упрощает настройку Outlook 2007, Outlook 2010 или Outlook 2013 и некоторых мобильных телефонов. Вы не можете использовать службу автооткрытия с версиями Outlook, чем Office Outlook 2007. В более ранних версиях Microsoft Exchange (Exchange 2003 sp2 или более ранних версий) и Outlook (Outlook 2003 или более ранних) необходимо было настраивать все профили пользователей вручную для доступа к Exchange. Для управления этими профилями требуется дополнительная работа, если произошли изменения в среде обмена сообщениями. В противном случае Outlook клиенты перестанут правильно функционировать.
С помощью службы автообнаружия Outlook находит новую точку подключения, сделанную из GUID почтового ящика пользователя + @ + доменной части основного SMTP-адреса пользователя. Служба автообнаружения возвращает клиенту следующую информацию:
краткое имя пользователя;
индивидуальные параметры каждого внутреннего или внешнего подключения;
Расположение сервера почтовых ящиков пользователя
URL-адреса для различных Outlook, которые управляют такими функциональными возможностями, как сведения о свободном/загруженном доступе, единая система обмена сообщениями и офлайн-адресная книга
параметры сервера Мобильный Outlook.
При смене Exchange данных пользователя Outlook автоматически перенастройка профиля пользователя с помощью службы автооткрытия. Например, если почтовый ящик пользователя перемещен или клиент не может подключиться к почтовому ящику пользователя или к доступным функциям Exchange, Outlook свяжется со службой автообнаружия и автоматически обновит профиль пользователя, чтобы включить сведения, необходимые для подключения к функциям почтового ящика и Exchange.
Как работает служба автооткрытия
При установке сервера клиентского доступа Exchange 2013 г. виртуальный каталог по умолчанию с именем Autodiscover создается на веб-сайте по умолчанию в службы IIS (IIS). В этом виртуальном каталоге обрабатываются запросы на автонаружить службы от Outlook 2007, Outlook 2010 и Outlook 2013 г. и поддерживаемые мобильные телефоны при следующих обстоятельствах:
При настройке или обновлении учетной записи пользователя
Если клиент Outlook периодически проверяет изменения url-адресов Exchange веб-служб
При существенных изменениях сетевого подключения в Exchange среде обмена сообщениями
Кроме того, на сервере, где устанавливается сервер клиентского доступа, создается новый объект Active Directory с именем точки подключения к службе (SCP).
Объект SCP содержит авторитетный список URL-адресов служб автооткрытия для леса. Для обновления объекта SCP можно использовать комлет Set-ClientAccessServer. Дополнительные сведения см. в перенастройке Set-ClientAccessServer.
Перед запуском комлета Set-ClientAccessServer убедитесь, что учетная запись с проверкой подлинности пользователей на сервере клиентского доступа имеет разрешения на чтение объекта SCP. Если у пользователей нет правильных разрешений, они не могут искать и читать элементы.
Дополнительные сведения о объектах SCP см. в публикации с точками подключения к службе.
В случае внешнего доступа или при использовании DNS клиент находит службу автообнаружения в Интернете по основному адресу домена SMTP, входящему в электронный адрес пользователя.
Необходимо предоставить запись в DNS для Outlook для обнаружения службы автооткрытия с помощью DNS. Дополнительные сведения см. в Windows документации по настройке DNS, а также в белой бумаге: Exchange 2007г.
Параметры развертывания для службы автооткрытия
Настройка автооткрытия для межлесных ходов
Служба автообнаружния может предоставлять сведения о профиле пользователя для подключения Outlook для почтовых ящиков, которые были перемещены из одного Exchange в другой. Для этого необходимо настроить пользователя с поддержкой почты как в исходном лесу, где находился почтовый ящик пользователя, так и в целевом лесу с помощью команды New-MailUser. В лесу исходных источников для указания нового адреса электронной почты почтового ящика в целевом лесу следует использовать параметр ExternalEmailAddress в комлете. Дополнительные сведения см. в сообщении New-MailUser.
При настройке пользователя с включенной почтой служба автооткрытия в исходном лесу перенаправляет пользователя проверки подлинности на новый адрес электронной почты в целевом лесу. После этого Outlook клиент будет перенаправлен на сервер клиентского доступа в целевом лесу, куда был перемещен почтовый ящик.
