Client Access Server
Client Access Server (CAS, сервер клиентского доступа) — это серверная роль в инфраструктуре Microsoft Exchange Server, отвечающая за приём, аутентификацию и маршрутизацию входящих запросов от клиентских приложений (почтовых клиентов, веб-браузеров, мобильных устройств) к соответствующим внутренним службам, включая базы данных почтовых ящиков. CAS не хранит почтовые данные постоянно, а выступает в качестве промежуточного звена (прокси-сервера) между клиентом и сервером почтовых баз (Mailbox Server).
История и развитие
Роль Client Access Server была введена в Microsoft Exchange Server 2007, когда архитектура Exchange была разделена на несколько серверных ролей: Mailbox Server (хранение данных), Hub Transport Server (маршрутизация почты внутри организации) и Client Access Server (обработка клиентских подключений). До этого, в Exchange 2000 и 2003, все функции доступа клиентов выполнялись на одном сервере.
В Exchange Server 2010 CAS стал обязательным компонентом для работы всех клиентских протоколов, включая Outlook Anywhere (RPC over HTTP), Exchange ActiveSync, Outlook Web App (OWA) и POP3/IMAP4. В Exchange Server 2013 и 2016 архитектура была упрощена: CAS перестал быть отдельной ролью, а его функции были объединены с ролью Mailbox Server в единый сервер, но термин «Client Access Server» продолжил использоваться для обозначения набора служб, обрабатывающих клиентские подключения.
В Exchange Server 2019 и в облачной версии Exchange Online (часть Microsoft 365) концепция CAS как отдельного сервера полностью исчезла. Вместо этого все функции клиентского доступа реализуются на уровне балансировщиков нагрузки (например, Azure Application Gateway) и служб самого почтового сервера.
Архитектура и принцип работы
В классической архитектуре Exchange Server (2007–2013) CAS выполняет следующие функции:
Приём и аутентификация запросов
CAS принимает все входящие подключения от клиентов по протоколам:
- HTTP/HTTPS — для Outlook Web App (OWA), Exchange Control Panel (ECP) и Outlook Anywhere.
- TCP — для POP3, IMAP4 и SMTP (для клиентских отправлений).
- ActiveSync — для мобильных устройств (iOS, Android, Windows Phone).
При подключении CAS проверяет учётные данные пользователя через Active Directory (с помощью LDAP-запросов) и определяет, к какому серверу почтовых ящиков (Mailbox Server) относится запрашиваемый почтовый ящик.
Проксирование и редирекция
После аутентификации CAS перенаправляет (редирект) или проксирует запрос к соответствующему Mailbox Server. В Exchange 2010 и более старых версиях использовался редирект (клиент получает новый URL для подключения к нужному серверу). В Exchange 2013 и 2016 CAS выполняет проксирование: он сам устанавливает соединение с Mailbox Server и передаёт данные клиенту, не раскрывая внутреннюю топологию.
Обработка протоколов
- Outlook Web App (OWA): CAS выступает веб-сервером, который рендерит HTML-страницы почтового ящика. Он взаимодействует с Mailbox Server через RPC или MAPI over HTTP.
- Exchange ActiveSync: CAS принимает запросы от мобильных устройств, обрабатывает синхронизацию календаря, контактов и почты, и передаёт изменения на Mailbox Server.
- POP3/IMAP4: CAS предоставляет доступ к почтовым ящикам по этим протоколам, конвертируя запросы в вызовы к хранилищу.
- Outlook Anywhere (RPC over HTTP): CAS оборачивает RPC-вызовы в HTTP-трафик, позволяя Outlook подключаться к почтовому серверу через интернет.
Балансировка нагрузки
В крупных организациях CAS обычно размещается за балансировщиком нагрузки (например, Microsoft NLB, F5 BIG-IP, HAProxy). Балансировщик распределяет входящие запросы между несколькими серверами CAS, обеспечивая отказоустойчивость и масштабируемость.
Классификация и виды
В зависимости от версии Exchange Server и конфигурации, CAS можно классифицировать следующим образом:
По версии Exchange
- Exchange 2007–2010: выделенная роль CAS, устанавливаемая на отдельные серверы.
- Exchange 2013–2016: CAS как служба на сервере с ролью Mailbox Server (все серверы имеют обе роли).
- Exchange 2019: CAS как термин больше не используется; функции реализованы в рамках единой службы клиентского доступа на Mailbox Server.
По типу развёртывания
- Локальный (on-premises): CAS развёрнут в собственной инфраструктуре организации.
- Гибридный (hybrid): CAS взаимодействует с облачными службами Exchange Online, обеспечивая единый доступ к локальным и облачным почтовым ящикам.
- Облачный (cloud): в Exchange Online CAS как отдельный компонент отсутствует; клиентские подключения обрабатываются глобальной сетью Microsoft.
Настройка и конфигурация
Настройка CAS включает несколько ключевых аспектов:
Сертификаты
Для шифрования трафика по протоколам HTTPS и ActiveSync на CAS устанавливается SSL-сертификат, доверенный клиентам. В Exchange 2010 и 2013 использовался самоподписанный сертификат по умолчанию, но в производственных средах требуется сертификат от удостоверяющего центра.
Виртуальные каталоги
CAS предоставляет несколько виртуальных каталогов в IIS (Internet Information Services), каждый из которых отвечает за определённый протокол:
/owa— Outlook Web App/ecp— Exchange Control Panel/Microsoft-Server-ActiveSync— Exchange ActiveSync/pop,/imap— POP3/IMAP4/rpc— Outlook Anywhere
Администраторы могут настраивать URL-адреса, методы аутентификации и параметры тайм-аутов для каждого каталога.
Аутентификация
CAS поддерживает несколько методов аутентификации:
- Basic Authentication — передача имени пользователя и пароля в открытом виде (рекомендуется только с HTTPS).
- Integrated Windows Authentication — использование Kerberos или NTLM для внутренних подключений.
- Forms-Based Authentication — веб-форма для OWA.
- OAuth 2.0 — в современных версиях Exchange и гибридных развёртываниях.
Политики доступа
Администраторы могут ограничивать доступ к определённым протоколам (например, отключить POP3 для всех пользователей) или настраивать политики для мобильных устройств (через Exchange ActiveSync).
Применение и значение
Client Access Server играет ключевую роль в обеспечении доступа пользователей к корпоративной почте из любой точки мира. Его основные применения:
- Удалённая работа: CAS позволяет сотрудникам подключаться к почте через Outlook Anywhere или OWA из дома, командировок или из других офисов.
- Мобильность: через Exchange ActiveSync CAS синхронизирует почту, календарь и контакты на смартфонах и планшетах.
- Централизованное управление: администраторы могут управлять доступом, политиками безопасности и мониторингом через ECP, который также обслуживается CAS.
- Интеграция с облаком: в гибридных сценариях CAS перенаправляет запросы между локальной инфраструктурой и Exchange Online, обеспечивая единый адресный пространство.
Критика и ограничения
Несмотря на свою важность, CAS имеет ряд недостатков:
- Единая точка отказа: при выходе из строя одного сервера CAS все клиентские подключения к его пулу нарушаются, если не настроена балансировка нагрузки.
- Сложность настройки: требуется корректная конфигурация сертификатов, виртуальных каталогов и DNS-записей, что может быть затруднительно для небольших организаций.
- Производительность: при большом количестве одновременных подключений CAS может стать узким местом, особенно при использовании Outlook Anywhere, который требует значительных ресурсов для обёртывания RPC-вызовов.
- Устаревание: начиная с Exchange 2019, концепция CAS как отдельной роли полностью исчезла, что делает её изучение актуальным только для администраторов legacy-систем.
Интересные факты
- В Exchange 2007 CAS изначально не поддерживал Outlook Anywhere — эта функция появилась только в Exchange 2007 SP1.
- В Exchange 2013 CAS и Mailbox Server стали единым сервером, но термин «CAS» продолжал использоваться в документации Microsoft для обозначения набора служб доступа.
- В Exchange Online (Microsoft 365) клиентские подключения обрабатываются глобальной сетью Microsoft, которая автоматически маршрутизирует запросы к ближайшему дата-центру, что делает CAS как локальный компонент ненужным.
Источники
- Microsoft Docs: Exchange Server architecture (2007–2019)
- Microsoft TechNet: Client Access Server role overview
- «Exchange Server 2010: The Complete Reference» by David W. Tschanz
- «Microsoft Exchange Server 2013: Design and Deployment» by Neil Johnson
- Knowledge Base articles from Microsoft Support (KB 923059, KB 940726)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →