Conseguimos implantar o HAProxy como um balanceador de carga de Camada 4 para todo o tráfego baseado em HTTP do Exchange 2013 SP1 (Descoberta Automática, OWA, EXP, EWS, MAPI, etc.)
Por vários motivos, no entanto, estamos procurando migrar para uma arquitetura de "SSL Offloading" de camada 7.
Baseamos a maior parte de nossa configuração no excelente guia ALOHA: link
A boa notícia é que quase tudo está funcionando absolutamente bem. Nosso único problema é com o MAPI, ou seja, a substituição do RPC que foi introduzido no Exchange 2013 SP1.
Pelo que eu li, o descarregamento de SSL do MAPI é suportado pelo Exchange 2013 - consulte link . O documento ALOHA desaconselha a utilização do descarregamento SSL de camada 7 para MAPI, mas apenas devido a problemas de desempenho e não a qualquer motivo técnico.
Se tentarmos fazer o balanceamento de carga do MAPI, os sintomas que estamos vendo são
Os bits relevantes da configuração do HAProxy estão abaixo (não é todo o arquivo)
frontend ft_exchange_2013_https
bind 1.1.1.3:443 ssl crt /blah/blah.pem
capture request header Host len 32
capture request header User-Agent len 64
capture response header Content-Length len 10
maxconn 10000
acl ssl_connection ssl_fc
acl host_mail hdr(Host) -i mail.company.com
acl path_slash path /
acl path_mapi path_beg -i /mapi
http-request deny if path_check
http-request redirect scheme https code 302 unless ssl_connection
http-request redirect location /owa/ code 302 if path_slash host_mail
use_backend bk_exchange_2013_https_mapi if path_mapi
backend bk_exchange_2013_https_mapi
option httpchk GET /mapi/HealthCheck.htm
http-check expect string 200\ OK
timeout server 600s
server SERVER1 1.1.1.1:443 maxconn 2000 weight 10 check ssl verify none
server SERVER2 1.1.1.2:443 maxconn 2000 weight 10 check ssl verify none
As coisas que tentamos resolver são
No entanto, nenhum deles resolveu o problema. Se alguém tiver alguma ideia sobre como diagnosticar mais ou tiver uma configuração funcional, poderá partilhar, por ex. HAProxy config + Exchange MAPI Configuração do diretório virtual que seria ótimo !!
Editar 1
Também consegui reproduzir o comportamento do Outlook indo para o link que solicita repetidamente as credenciais da mesma forma que o Outlook