Нам удалось успешно развернуть HAProxy в качестве балансировщика нагрузки уровня 4 для всего нашего HTTP-трафика Exchange 2013 SP1 (Autodiscover, OWA, EXP, EWS, MAPI и т. Д.)
Однако по разным причинам мы стремимся перейти к архитектуре с разгрузкой SSL уровня 7.
Мы основали большую часть нашей конфигурации на отличном руководстве по ALOHA: https://www.haproxy.com/static/media/uploads/eng/resources/aloha_load_balancer_appnotes_0065_exchange_2013_deployment_guide_en.pdf
Хорошая новость в том, что почти все работает абсолютно нормально. Наша единственная проблема связана с MAPI, то есть заменой RPC, которая была представлена в Exchange 2013 SP1.
Из того, что я прочитал, разгрузка SSL MAPI поддерживается Exchange 2013 - см. http://blogs.technet.com/b/rmilne/archive/2014/02/25/exchange-2013-sp1-released.aspx. В документе ALOHA не рекомендуется использовать разгрузку SSL уровня 7 для MAPI, но исключительно из-за проблем с производительностью, а не по какой-либо технической причине.
Если мы попытаемся сбалансировать нагрузку MAPI, то увидим следующие симптомы:
Соответствующие биты конфигурации HAProxy приведены ниже (это не весь файл)
frontend ft_exchange_2013_https
bind 1.1.1.3:443 ssl crt /blah/blah.pem
capture request header Host len 32
capture request header User-Agent len 64
capture response header Content-Length len 10
maxconn 10000
acl ssl_connection ssl_fc
acl host_mail hdr(Host) -i mail.company.com
acl path_slash path /
acl path_mapi path_beg -i /mapi
http-request deny if path_check
http-request redirect scheme https code 302 unless ssl_connection
http-request redirect location /owa/ code 302 if path_slash host_mail
use_backend bk_exchange_2013_https_mapi if path_mapi
backend bk_exchange_2013_https_mapi
option httpchk GET /mapi/HealthCheck.htm
http-check expect string 200\ OK
timeout server 600s
server SERVER1 1.1.1.1:443 maxconn 2000 weight 10 check ssl verify none
server SERVER2 1.1.1.2:443 maxconn 2000 weight 10 check ssl verify none
Мы пытались решить эту проблему.
Однако ни один из них не устранил проблему. Если у кого-то есть идеи о том, как проводить дальнейшую диагностику или есть рабочая конфигурация, они могли бы поделиться, например Конфигурация HAProxy + конфигурация виртуального каталога Exchange MAPI, это было бы здорово !!
Редактировать 1
Мне также удалось воспроизвести поведение Outlook, перейдя в https://mail.company.com/mapi/emsmdb который неоднократно запрашивает учетные данные так же, как Outlook