1. Главная страница » Компьютеры »

Exchange 2010 activesync настройка

Автор: | 16.12.2019

Администрируем и настраиваем Windows, Linux.

В Exchange Server 2010 администраторы могут очень гибко контролировать подключение новых устройств через к почтовым ящикам через ActiveSync. Администратор может выставлять политики, действующие при подключении устройства нового типа по протоколу ActiveSync. Это особенно актуально в свете недавних проблем с IOS.

Значением по умолчанию (с точки зрения безопасности это плохое решение) является “Allow” (Разрешать доступ). Вы можете проверить это с помощью командлета Get-ActiveSyncOrganizationSettings.

[PS] C:>Get-ActiveSyncOrganizationSettings | select DefaultAccessLevel | fl
DefaultAccessLevel : Allow

При данном значении любое новое устройство без каких-либо проблем может подключиться к серверу.

Управление глобальными настройками ActiveSync

Администратор может изменить уровень безопасности на более приемлемый уровень — "Quarantine" (Карантин), в котором для доступа требуется подтверждение от администратора.

Помимо указания уровня безопасности нам также необходимо использовать два дополнительных важных параметра:

  • AdminMailRecipients определяет адрес электронной почты администратора, подтверждающего подключение новых устройств.
  • UserMailInsert определяет дополнительную текстовую строку, которая будет отображаться в письме пользователю после стандартного текста оповещения. Это делает возможным сделать для конечных пользователей более дружелюбную и понятную инструкцию.

[PS] C:>Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients administrator@exchangeserverpro.net -UserMailInsert "Your mobile device type has not yet been approved for use. Please contact the Help Desk for further assistance."

Также вы можете выполнить данную настройку через ECP в разделе Phone & Voice.

Exchange 2010 activesync настройка

Теперь давайте посмотрим, что произойдет при данных настройках. Допустим пользователь Vik Kirby пытается подключиться к Exchange ActiveSync с нового мобильного под управление Windows Phone 7.

Vik получит оповещение по электронной почте о временной блокировке синхронизации его мобильного телефона с Exchange. Данное оповещение придет в его почтовый ящик, по прежнему доступный через Outlook или OWA, а также данное сообщение будет единственным, которое синхронизируется на его мобильный телефон.

Exchange 2010 activesync настройка

Вы можете заметить текстовую строку, которую мы задавали в настройках в параметре UserMailInsert.

Exchange 2010 activesync настройка

Администратор, определенный параметров AdminMailRecipients также получит уведомление.

Exchange 2010 activesync настройка

Одобрение находящихся в карантине устройств

Нажмите на ссылку “To perform an action for this device…” в письме и откроется Exchange Control Panel. Это можно сделать и самостоятельно залогинившись в ECP и опять перейдя в раздел Phone & Voice section.

Exchange 2010 activesync настройка

Если вы нажмите Allow и затем Save то Вик сможет использовать свой мобильный. Посмотреть ID устройства, которому вы дали доступ можно с помощью команды Get-CASMailbox.

[PS] C:>Get-CASMailbox vik.kirby | select displayname,ActiveSyncAllowedDeviceIDs | fl DisplayName : Vik Kirby ActiveSyncAllowedDeviceIDs :

Однако другой пользователь с таким же устройством по прежнему не сможет подключиться и будет помещен в карантин.

Если вы решите пропустить данный вид устройств целиком, то вы можете создать правило доступа устройств.

Для этого нажмите кнопку “Create a rule for similar devices…”.

Exchange 2010 activesync настройка

Тип устройств и модели будут выбраны автоматически на основе того, устройства, которые первоначально было вами выбрано.

Exchange 2010 activesync настройка

Сохраните политику и все последующие мобильные устройства, подпадающие под данные критерии будут получать доступ к Exchange автоматически.

Exchange 2010 activesync настройка

Мобильные устройства настолько плотно вошли в нашу жизнь, и порой кажется, что электроная почта читается на мобильном устройстве если не чаще, то уж точно не сильно реже чем на рабочем компьютере. В данной статье мы поговорим об ActiveSync, протоколе, позволяющем синхронизировать мобильный телефон с почтовым ящиком Exchange 2010. Следует отметить, что ActiveSync появился довольно давно, а именно с выходом в свет Exchange 2003, но все же особый интерес к данному способу подключения появился в последние пару лет.

Возьмем официальное определение:

Exchange ActiveSync —протокол синхронизации Microsoft Exchange, оптимизированный для работы с сетями с низкой пропускной способностью и высокой задержкой. Exchange ActiveSync позволяет пользователям мобильных телефонов получать доступ к электронной почте, календарю, контактам и задачам, а также работать с этими сведениями в автономном режиме.

Microsoft Exchange ActiveSync работает «из коробки» и доступен сразу после установки роли сервера клиентского доступа (CAS). Поэтому сотруднику, имеющему почтовый ящик на вашем сервере для подключения небходимо иметь мобильный телефон под управлением Windows Mobile 5.0 с пакетом функций обмена сообщениями и обеспечения безопасности MSFP (Messaging and Security Feature Pack) или более позднюю версию Windows Mobile. Так же присутсвует возможность подключения через ActiveSync с других мобильных устройств, поддерживающих данную технологию.

При подключении клиент отправляет серверу клиентского доступа HTTPS запрос, в рамках которого и происходит синхронизация данных. После синхронизации HTTPS запрос простаивает и случае отсуствия изменений никакие данные не передаются. Продолжительность данного запроса 15 минут и в течении данного времени клиент ждет сообщений об изменений с сервера. Если изменения происходят во время срока существования HTTPS-запроса, сервер Exchange выдает устройству ответ, сообщающий, что возникли изменения и устройство должно синхронизироваться с сервером Exchange. После завершения синхронизации создается новый долгоживущий HTTPS-запрос на повторный запуск процесса. Данная процедура называется Direct Push и как раз она позволяет мобильному клиенту узнавать о поступлении новой почты через несколько секунд послее ее попадания в почтовый ящик на сервере.

Как вы могли обратить внимание по-умолчанию запрос осуществляется с ипользованием HTTPS (а не HTTP), т.е при подключении клиента происходит SSL шифрование, при этом используется сертификат Exchange сервера. На вэб сервере IIS находится виртуальный каталог Microsoft Exchange ActiveSync, именно к нему подключаются наши мобильные клиенты и именно он требует SSL. (Рис.1)

Exchange 2010 activesync настройка

Рисунок 1. Настройки SSL виртуального каталога Microsoft Exchange ActiveSync

Использование SSL это не параноя разработчиков, а суровая необходимость. Если из Exchange Management Shell используя коммандлет Get-ActiveSyncVirtualDirectory посмотреть настройки вирутального каталога, то становится ясно, что для аутентификации наших пользователей задействован способ аутентификации Basic. (Рис.2)

Basic проверка подлинности — это наиболее простой способ проверки подлинности, при котором запрашиваемые у клиента, имя пользователя и пароль, отправляются на сервер в виде открытого текста. Сервер проверяет корректность имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. При использовании Basic проверки подлинности с SSL имя пользователя и пароль отправляются в виде обычного текста, но сама передача данных шифруется. Поэтому делаем вывод в необходимости использования SSL в производственном использоовании ActiveSync.

Читайте также:  Huawei p20 pro реклама

Exchange 2010 activesync настройка

Рисунок 2. Просмотр параметров виртуальной директории Active Sync

Для тестирования подключения по Active Sync необязательно наличие мобильного телефона, в век виртуализации все делается гораздо проще. Достачно скачать виртуальные Windows Mobile из комплекта Developer Tool Kit. Существет несколько нюансов, в моей тестовой среде виртуальный Windows Mobile 6.5 запускался на виртуальной машине в среде Hyper-V. И чтобы дать возможность мобильному устройству увидеть сеть, пришлось в свойствах виртуальной машины Hyper-V (в которой стартует windows mobile 6.5 sdk) включить спуфинг мак адресов. (Рис.3) Это даст возможность нашему виртуальному коммуникатору общаться с сетью через виртуальный сетевой адаптер нашей системы.

Но и это еще не все. Что бы Windows Mobile смог увидеть наш Exchange Server, необходимо в настройках эмулятора на закладке Network разрешить использовать сетевой адаптер машины на которой он запущен. (Рис.4) Теперь, когда все подготовительные этапы выполнены, можно перейти в первому подключению.

Exchange 2010 activesync настройка

Рисунок 3. Включение спуфинга мак адресов.

Exchange 2010 activesync настройка

Рисунок 4. Настройка сети в виртуальной Windows Mobile

Дальше все зависит от того, какой сертификат используется вашим сервером, впринципе возможно три варианта:

1. Самоподписный сертификат, созданный при установке Exchange.

2. Сертификат, выданный внутренним центром сертификации.

3. Сертификат, купленный у коммерческого центра

Первый вариант мы сразу отметает, самоподписные сертификаты зло, которое даже в тестовой среде право на жизнь не имеет. Т.е остается вариант два и три. Если с третим вариантом все здорово, то при использовании сертификата от внутреннего центра возникает вопрос доверия. Мобильное стройство не член домена и соответсвенно никакого доверия вашему внутреннему центру сертификации у него нет. Поэтому придется немного пошустрить.

Для начала нам необходим файл цепочки сертификатов, получить который можно несколькими способами, я имея установленный компонент Web Enrollment на центре сертификации, запросил его из браузера. (Рис.5)

Exchange 2010 activesync настройка

Рисунок 5. Запрос цепочки сертификатов через Web Enrollment

Когда файл цепочки сертификатов получен, остается мелочь, доставить его на мобильное устройство. Я пошел следующим путем, временно отключил использование SSL при подключении ActiveSync и разослал его тестовым пользователям. Подключился тестовыми пользователями по ActiveSync без шифрования и добавил цепочку сертификатов.

Отключение SSL на виртуальном каталоге ActiveSync:

1. В диспетчере IIS выбераем Веб-сайт по умолчанию и виртуальный каталог Microsoft-Server-ActiveSync, а затем щелкаем Свойства.

2. На вкладке Безопасность каталога в области Безопасность подключений, щелкаем Изменить.

3. В области Безопасность подключений снимает галку Запросить безопасный канал (SSL).

4. После завершения этой процедуры виртуальный каталог Exchange ActiveSync на веб-сайте более не будет требовать использование протокола SSL.

Далее, на виртуальном мобильном устройсте, настраиваем IP адрес из внутренней сети и когфигурируем ActiveSync подключение для любой учетной записи. Процедура конфигурирания сети мобильного устройства, ровно, как и настройка ActiveSync подробно раскрыта в другой нашей статье. Вас интересует главы «Подключение устройства c Windows Mobile к локальной сети» и «Подключение к Exchange». Либо же эту процедуру можно посмотреть в моем вебкасте по мотивам данной статьи. При подключении вам необходимо добавить файл цепочки сертификатов на мобильное устройство. (Рис.6)

Exchange 2010 activesync настройка

Рисунок. 6 Добавление файла цепочки сертификатов на мобильное устройство

Когда все клиенты получили данный файл, требование SSL шифрования на виртуальном каталоге ActiveSync мы включаем обратно, а на мобильном устройстве заново запускаем настройку ActiveSync и добавляем галку требовать SSL. На выходе получаем полную «секьюрность» при общение мобильного клиента и сервера.

Ну на самом деле безопасность пока не тотальная, мобильное устройство это еще один потенциальный «краник» утечки информации, который при должной снаровке мы можем прикрутить. В Exchange Server существуют специальные политики для мобильных устройств, которые затягивают гайки, причем хотелось бы обратить внимание, что при нашем первом подключении политика по умолчанию уже была применена. Поскольку она довольно демократична и разрешает все что можно, то действия ее мы с вами не заметили

Мы же можем создать несколько политик, каждая из которых может нести разные уровни садизма над сотрудниками и применить их к различных группам подопытных. (Рис.7)

Exchange 2010 activesync настройка

Рисунок. 7 Пример политик почтовых ящиков Exchange ActiveSync

Ничто не мешает создавать политику используя графическую оснастку Exchange Management Console, но я воспользуюсь шэлом (EMS), и создам политику из примера для руководителей организации и для этого выполню команду:

New-ActiveSyncMailboxPolicy -Name ExecutiveSyncPolicy -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -DevicePasswordHistory:28 -AttachmentsEnabled:$true -RequireDeviceEncryption:$true -WSSAccessEnabled:$true

Политика создана, но это еще не все, теперь мы должны применить ее для пользователя или группы пользователей, опять же задействуем EMS:

Get-Mailbox -OrganizationalUnit Users | Set-CasMailbox -ActiveSyncMailboxPolicy ‘ExecutiveSyncPolicy’

Первым командетом мы выбираем все почтовые ящики для пользователей находящихся в контейнере Active Directory – Users, а вторым применяем для них недавно созданную политику. Теперь при следующей синхронизации на мобильном устройстве политика будет обновлена, а сам пользователь получит запрос на устовку пароля. (Рис.8)

Exchange 2010 activesync настройка

Рисунок. 8 Применение новой политики почтовых ящиков Exchange ActiveSync

Отметим, что в новой политике мы задали самый минимум параметров и большую часть интересных фишек оставили за кадром. Описание всех параметров политики и способы редактирования ее через оснастку (EMC) можно найти со следующей статье или в библиотеке TechNet.

Exchange 2010 activesync настройка

Рисунок. 9 Просмотр информации о подключенном устройстве.

Теперь когда устройство синхронизировалось с сервером, мы можем просмотреть информацию о нем. Делается это командлетом GetActiveSyncDevice, через который можно посмотреть ПО мобильного устройства, дату последней синхронизации и много всего другово. (Рис.9)

К сожалению мобильные телефоны забываются в транспорте, теряются, крадутся и просто исчезают без следа, а поскольку на них содержится ваша переписка и возможно вложения, то в целях обеспечения безопасности, мы просто обязаны иметь «рычаг» который может потушить пропавшее устройство.

Рычага даже два, один у администратора, второй в владельца телефона, но начнем с админа. В его власти выбрать почтовый ящик и по контекстному меню зайти в раздел Manage Mobile Phone, приэтом ему дается выбор, как поступить с потерянным устройством. (Рис.10)

Читайте также:  Hp pavilion g6 картинки

Remove the mobile phone partnership – запрет на синхронизацию устройства, хотя на самом деле одну синхронизацию выполнить все таки даст, в рамках которой вся почта сохраненная на устройстве будет удалена. Впоследствии при попытке синхронизаций клиент будет получать сообщение об ошибке. Если клиент не синхронизируется, то вся почта продолжает храниться на устройстве.

Exchange 2010 activesync настройка

Exchange 2010 activesync настройка

Рисунок. 10 Управление мобильным устройством клиента.

Preform a remote wipe to clear phone data – «жесткий наезд» удаляющий все сведения Exchange, хранящиеся на мобильном телефоне. При этом желание владельца телефона не спрашивается, а сам телефон уходит в перезагрузку, после которой становится чист. Т.е процедура может использоваться для удаления данных с украденного телефона или для очистки устройства перед назначением его другому пользователю. Опять же в отличие от первого варианта при очистке удаляется все содержимое ОЗУ и карт устройства, фактически вы осуществляете аппаратный сброс удаленного телефона.

Как я уже раньше говорил, при утере мобильника озадачивать администратора не обязательно, возможность сброса устройства есть и у пользователя. Для этого человеку достаточно подключиться к Exchange Control Panel, выбрать устройство и выполнить очистку. (Рис. 11)

Exchange 2010 activesync настройка

Рисунок. 11 Очистка устройства пользователем.

В принципе после отправки команды на очистку устройства, у вас еще есть возможность ее отменить, если синхронизация пока не прошла, то можно попробовать указать “Cancel Device Wipe” и остановить неизбежное. Если вдруг после очистки устройства вам понадобится его снова подключить через ActiveSync, то там же в Exchange Control Panel устройство необходимо удалить из списка. В противном случае повторная попытка подключения устройства закончится очередным сбросом.

Возможность удалить заблокированное устройство для повторного подключения есть и у администратора, делается это легко через коммандлеты EMS:

1. Получаем список мобильных устройств и смотрим их имена и идентификаторы

Get-ActiveSyncDevice | ft Name,GUID -AutoSize

2. Удаляем устройство, указав его GUID

Remove-ActiveSyncDevice -Identity 0ccad52f-d899-471f-af7d-09a6bcafec7e

После удаления устройства из списка, ничто не мешает подключить его к Exchange заново и использовать впоследствии.

Пока мы очищали мобильное устройства, часть вас могла заметить, что в ECP панели есть блок “Text Messaging” (Рис.10) где вроде скрыта возможность отправки SMS из почтового ящика. Exchange Server 2010 позволяет отправлять и принимать SMS через Outlook или OWA, используя коммуникатор под управлением Windows Mobile 6.1 и старше, подключенный по протоколу ActiveSync.

Сценарий очень простой, при синхронизации мобильного устройства, вы указываете, что желаете синхронизировать и SMS сообщения. После чего, используя Outlook, создаете SMS, которое уходит по ActiveSync на устройство и отправляется через оператора. Опять же входящие на устройство SMS попадают в ваш почтовый ящик. (Рис.12)

Exchange 2010 activesync настройка

Рисунок. 12 Работа с SMS в Exchange 2010

Если никакие функций по синхронизации SMS при подключении у вас не появились (как на Рис.13), необходимо перейти по ссылке файла обновления Outlook Mobile: https://outlook.vo.msecnd.net/OutlookMobileSetup.cab и скачать данный инсталлятор, после чего загрузить само обновление.

Exchange 2010 activesync настройка

Рисунок. 13 Отправка сообщений из OWA после настройки синхронизации SMS

На финишной прямой после синхронизации с установленным обновлением, у вас должна появиться возможность работы с SMS. (Рис.13)

В процессе подключения мобильного устройства я всегда явно указывал имя сервера клиентского доступа, к которому хотел подключиться, на самом деле это не дефолтный вариант, вариантом по умолчанию является использование службы автообнаружения.

Служба Автообнаружения – позволяет, указав электронный адрес и пароль автоматически получить имя сервера клиентского доступа, тем самым упростив жизнь конечному пользователю устройства. (Рис.14)

Exchange 2010 activesync настройка

Рисунок. 14 Работа службы Автообнаружения

Как же работает данная служба?

1. Клиент вводит на своем устройстве электронный адрес и пароль, при этом галочка выбора автоматического обнаружения (Attempt to detect Exchange Server Settings automatically) должна стоять. (Рис. 15)

Exchange 2010 activesync настройка

Рисунок. 15 Выбор при настройке Автообнаружения

2. Коммуникатор обращается к DNS и запрашивает SRV запись для указанного почтового домена. Соответственно эта запись должна быть заблаговременно добавлена администратором во внешнюю зону DNS.

Пример записи: _autodiscover._tcp IN SRV 0 0 443 beta.itband.ru

По самой записи можно сделать вывод о том, что файл с настройками можно получить на сервере beta.itband.ru если обратиться к нему по 443 порту с использованием TCP.

3. Коммуникатор использует Secure Sockets Layer (SSL) соединение для подключения через брандмауэр к виртуальному каталогу службы автообнаружения. Служба автообнаружения собирает XML-ответ, основанный на данных предоставленных пользователем.

4. Служба автообнаружения посылает XML-ответ через брандмауэр по SSL. Этот ответ XML интерпретируется коммуникатором, и параметры синхронизации автоматически настраиваются на мобильном телефоне.

Exchange 2010 activesync настройка

Рисунок. 16 Процесс получения настроек от службы Автообнаружения

Возможность использования автоматического обнаружения зависит от операционной системы мобильного телефона, который вы используете. Не все операционные системы поддерживают автоматическое обнаружение. Например, Windows Mobile 5.0 не поддерживает такую функцию.

На этом моменте хотелось бы закончить первую часть статьи. Продолжение следует…

MCT/MVP Илья Рудь

Посредством Exchange ActiveSync пользователи могут получить доступ с повышенным уровнем безопасности к своим почтовым ящикам Exchange с устройств, работа которых основана на технологиях Microsoft Windows Mobile®, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов. Пользователи могут синхронизировать сообщения электронной почты, встречи, контактные данные и задачи в своих почтовых ящиках и использовать эту информацию, если мобильное устройство работает в автономном режиме.

При использовании Exchange Server 2007 или Exchange Server 2010 проверку подлинности подключения ActiveSync можно выполнять с использованием проверки подлинности на основе сертификатов клиентов. Forefront TMG поддерживает ограниченное делегирование Kerberos, что позволяет Forefront TMG выполнять проверку подлинности клиентского подключения с помощью клиентского сертификата и получать билет Kerberos. Этот билет может быть предоставлен опубликованному веб-серверу, который принимает билет Kerberos вместо учетных данных клиента.

Exchange 2010 activesync настройкаЧтобы настроить публикацию ActiveSync

В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.

В области Задачи перейдите на вкладку Инструментарий.

На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.

Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.

Страница приветствия мастера создания веб-прослушивателя

Введите имя для нового веб-прослушивателя. Например, введите Прослушиватель ActiveSync.

Безопасность клиентских подключений

Выберите пункт Требовать безопасного подключения SSL для клиентов.

Прослушивать входящие веб-запросы данных сетей

Выберите сеть Внешняя. Нажмите кнопку Выбрать IP-адреса, затем выберите пункт Заданные IP-адреса на компьютере Forefront TMG в выбранной сети. В разделе Доступные IP-адреса выберите IP-адрес для веб-сайта, нажмите кнопку Добавить, а затем — кнопку ОК.

Выберите Использовать единый сертификат для данного веб-прослушивателя, нажмите кнопку Выбор сертификата и выберите сертификат, для которого имя узла, используемое пользователями для доступа к опубликованному веб-сайту, отображается в поле Кому выдан.

Параметры проверки подлинности

Укажите способ предоставления клиентами учетных данных для Forefront TMG.

В раскрывающемся списке выберите пункт Проверка подлинности на основе HTML-форм. Если вы хотите использовать ограниченное делегирование Kerberos, выберите пункт Проверка подлинности SSL-сертификата клиента.

Собирать дополнительные учетные данные пользователей для делегирования в форме

Снимите этот флажок.

Укажите, как Forefront TMG будет проверять учетные данные клиентов

Если Forefront TMG развертывается в домене, выберите Windows (Active Directory). При развертывании в рабочей группе вы можете выбрать LDAP (Active Directory), RADIUS, RADIUS OTP, или SecurID.

Параметры единого входа

Включение единого входа в систему для узлов, опубликованных при помощи этого прослушивателя

Снимите этот флажок.

Завершение работы мастера создания веб-прослушивателя

Просмотрите параметры и нажмите кнопку Готово.

В области Задачи откройте вкладку Задачи.

На вкладке Задачи нажмите кнопку Опубликовать доступ веб-клиента Exchange, чтобы открыть мастер создания правила публикации Exchange.

Завершите настройку с помощью мастера создания правила публикации Exchange, как показано в таблице.

СтраницаПоле или свойствоПараметр или действие
Читайте также:  Highwire press на русском

Вас приветствует мастер создания правила публикации Exchange

Имя правила публикации Exchange

Введите имя для нового правила публикации Exchange. Например, введите Клиенты ActiveSync.

Выберите Exchange Server 2003, Exchange Server 2007 или Exchange Server 2010.

Почтовые службы веб-клиента

Выберите Exchange ActiveSync.

Выберите Опубликовать один веб-узел или систему балансировки нагрузки. Другие варианты выходят за рамки данного процесса.

Безопасность подключения к серверу

Выберите Использовать SSL для подключения к опубликованному веб-серверу или веб-ферме. Для данного параметра необходимо установить на каждом сервере переднего плана Exchange SSL-сертификат сервера, имя узла для которого задается как внутреннее имя сайта в поле Получатель сертификата.

Сведения о внутренней публикации

Внутреннее имя веб-узла

Введите имя узла, которое будет использовать Forefront TMG в сообщениях HTTP-запросов, отправляемых на опубликованный сервер.

Если внутреннее имя веб-сайта, указанное в этом поле, неразрешимо и не является именем компьютера или IP-адресом опубликованного сервера, выберите пункт Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу и введите разрешимое имя компьютера или IP-адрес опубликованного сервера.

Параметры внешнего имени

Принимать запросы для

Выберите Доменное имя (введите ниже).

Введите полное доменное имя (FQDN) или IP-адрес, который будут использовать внешние пользователи для доступа к опубликованному веб-узлу Exchange ActiveSync.

В раскрывающемся списке выберите веб-прослушиватель, созданный на шаге 4. Для изменения свойств выбранного веб-прослушивателя нажмите кнопку Изменить.

Делегирование проверки подлинности

Выберите метод, используемый Forefront TMG для проверки подлинности на опубликованном веб-сервере.

Чтобы выбрать проверку подлинности на основе форм, нажмите кнопку Обычная проверка подлинности. Чтобы выбрать проверку подлинности на основе SSL-сертификата клиента, нажмите кнопку Ограниченное делегирование Kerberos.

Учетные записи пользователей

Это правило применяется к запросам от следующих наборов пользователей

Если используется проверка учетных данных Windows, не изменяйте параметр по умолчанию Все прошедшие проверку пользователи. Если вы используете проверку учетных данных RADIUS, LDAP или SecurID, необходимо использовать набор пользователей, настроенный на применимое пространство имен.

Завершение работы мастера создания правила публикации Exchange

Просмотрите параметры и нажмите кнопку Готово.

В области сведений нажмите кнопку Применить, чтобы сохранить и обновить конфигурацию, а затем — кнопку ОК.

СтраницаПоле или свойствоПараметр или действие
Примечание.
    При публикации через протокол SSL SSL-сертификат сервера, выпущенный для имени опубликованного веб-сайта, должен быть установлен в персональном хранилище локального компьютера на компьютере Forefront TMG. Дополнительные сведения о получении и установке SSL-сертификатов серверов см. в разделе Настройка сертификатов сервера для безопасной веб-публикации.

На странице IP-адреса веб-прослушивателя мастера создания веб-прослушивателя можно выбрать IP-адреса по умолчанию для сетевых плат этой сети. Если включена балансировка нагрузки сети, этот параметр автоматически выберет виртуальный IP-адрес. В противном случае для каждой сетевой платы будет автоматически выбран IP-адрес по умолчанию.

Если используется проверка учетных данных RADIUS, компьютер Forefront TMG должен быть зарегистрирован в качестве клиента RADIUS на RADIUS-сервере, а системная политика RADIUS должна быть включена, чтобы разрешать трафик RADIUS с компьютера Forefront TMG (сеть локального узла) во внутреннюю сеть. Это правило предполагает, что RADIUS-сервер расположен во внутренней сети.

Если вы выбираете проверку учетных данных RADIUS, LDAP или RADIUS OTP, необходимо изменить настройки веб-прослушивателя, который вы создали, и указать серверы RADIUS или LDAP, на которые будут отправляться запросы при проверке подлинности.

Exchange ActiveSync поддерживается только в Exchange Server 2003 и Exchange Server 2007.

При помощи Exchange ActiveSync пользователи могут безопасно синхронизировать почтовые ящики Exchange с устройствами, основанными на технологиях Microsoft Windows Mobile, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов.

Forefront TMG использует заголовок User-Agent в запросе клиента для определения HTML-формы, которая будет использоваться в ответе, возвращаемом в веб-браузер. Поддерживаемые типы форм – это HTML 4.01, XHTML-MP и cHTML. Если заголовок User-Agent в запросе не сопоставлен с форматом, Forefront TMG возвращается к обычной проверке подлинности.

Пользователи подключаются к Exchange ActiveSync путем открытия URL-адреса, который обычно имеет вид https://имя_узла/Microsoft-Server-ActiveSync. Возможно, потребуется изменить сопоставление между путями, указываемыми пользователями, и внутренними путями на вкладке Пути в свойствах правила веб-публикации.

Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *