Содержание
Администрируем и настраиваем Windows, Linux.
В Exchange Server 2010 администраторы могут очень гибко контролировать подключение новых устройств через к почтовым ящикам через ActiveSync. Администратор может выставлять политики, действующие при подключении устройства нового типа по протоколу ActiveSync. Это особенно актуально в свете недавних проблем с IOS.
Значением по умолчанию (с точки зрения безопасности это плохое решение) является “Allow” (Разрешать доступ). Вы можете проверить это с помощью командлета Get-ActiveSyncOrganizationSettings.
[PS] C:>Get-ActiveSyncOrganizationSettings | select DefaultAccessLevel | fl
DefaultAccessLevel : Allow
При данном значении любое новое устройство без каких-либо проблем может подключиться к серверу.
Управление глобальными настройками ActiveSync
Администратор может изменить уровень безопасности на более приемлемый уровень — "Quarantine" (Карантин), в котором для доступа требуется подтверждение от администратора.
Помимо указания уровня безопасности нам также необходимо использовать два дополнительных важных параметра:
- AdminMailRecipients определяет адрес электронной почты администратора, подтверждающего подключение новых устройств.
- UserMailInsert определяет дополнительную текстовую строку, которая будет отображаться в письме пользователю после стандартного текста оповещения. Это делает возможным сделать для конечных пользователей более дружелюбную и понятную инструкцию.
[PS] C:>Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Quarantine -AdminMailRecipients administrator@exchangeserverpro.net -UserMailInsert "Your mobile device type has not yet been approved for use. Please contact the Help Desk for further assistance."
Также вы можете выполнить данную настройку через ECP в разделе Phone & Voice.
Теперь давайте посмотрим, что произойдет при данных настройках. Допустим пользователь Vik Kirby пытается подключиться к Exchange ActiveSync с нового мобильного под управление Windows Phone 7.
Vik получит оповещение по электронной почте о временной блокировке синхронизации его мобильного телефона с Exchange. Данное оповещение придет в его почтовый ящик, по прежнему доступный через Outlook или OWA, а также данное сообщение будет единственным, которое синхронизируется на его мобильный телефон.
Вы можете заметить текстовую строку, которую мы задавали в настройках в параметре UserMailInsert.
Администратор, определенный параметров AdminMailRecipients также получит уведомление.
Одобрение находящихся в карантине устройств
Нажмите на ссылку “To perform an action for this device…” в письме и откроется Exchange Control Panel. Это можно сделать и самостоятельно залогинившись в ECP и опять перейдя в раздел Phone & Voice section.
Если вы нажмите Allow и затем Save то Вик сможет использовать свой мобильный. Посмотреть ID устройства, которому вы дали доступ можно с помощью команды Get-CASMailbox.
[PS] C:>Get-CASMailbox vik.kirby | select displayname,ActiveSyncAllowedDeviceIDs | fl DisplayName : Vik Kirby ActiveSyncAllowedDeviceIDs :
Однако другой пользователь с таким же устройством по прежнему не сможет подключиться и будет помещен в карантин.
Если вы решите пропустить данный вид устройств целиком, то вы можете создать правило доступа устройств.
Для этого нажмите кнопку “Create a rule for similar devices…”.
Тип устройств и модели будут выбраны автоматически на основе того, устройства, которые первоначально было вами выбрано.
Сохраните политику и все последующие мобильные устройства, подпадающие под данные критерии будут получать доступ к Exchange автоматически.
Мобильные устройства настолько плотно вошли в нашу жизнь, и порой кажется, что электроная почта читается на мобильном устройстве если не чаще, то уж точно не сильно реже чем на рабочем компьютере. В данной статье мы поговорим об ActiveSync, протоколе, позволяющем синхронизировать мобильный телефон с почтовым ящиком Exchange 2010. Следует отметить, что ActiveSync появился довольно давно, а именно с выходом в свет Exchange 2003, но все же особый интерес к данному способу подключения появился в последние пару лет.
Возьмем официальное определение:
Exchange ActiveSync —протокол синхронизации Microsoft Exchange, оптимизированный для работы с сетями с низкой пропускной способностью и высокой задержкой. Exchange ActiveSync позволяет пользователям мобильных телефонов получать доступ к электронной почте, календарю, контактам и задачам, а также работать с этими сведениями в автономном режиме.
Microsoft Exchange ActiveSync работает «из коробки» и доступен сразу после установки роли сервера клиентского доступа (CAS). Поэтому сотруднику, имеющему почтовый ящик на вашем сервере для подключения небходимо иметь мобильный телефон под управлением Windows Mobile 5.0 с пакетом функций обмена сообщениями и обеспечения безопасности MSFP (Messaging and Security Feature Pack) или более позднюю версию Windows Mobile. Так же присутсвует возможность подключения через ActiveSync с других мобильных устройств, поддерживающих данную технологию.
При подключении клиент отправляет серверу клиентского доступа HTTPS запрос, в рамках которого и происходит синхронизация данных. После синхронизации HTTPS запрос простаивает и случае отсуствия изменений никакие данные не передаются. Продолжительность данного запроса 15 минут и в течении данного времени клиент ждет сообщений об изменений с сервера. Если изменения происходят во время срока существования HTTPS-запроса, сервер Exchange выдает устройству ответ, сообщающий, что возникли изменения и устройство должно синхронизироваться с сервером Exchange. После завершения синхронизации создается новый долгоживущий HTTPS-запрос на повторный запуск процесса. Данная процедура называется Direct Push и как раз она позволяет мобильному клиенту узнавать о поступлении новой почты через несколько секунд послее ее попадания в почтовый ящик на сервере.
Как вы могли обратить внимание по-умолчанию запрос осуществляется с ипользованием HTTPS (а не HTTP), т.е при подключении клиента происходит SSL шифрование, при этом используется сертификат Exchange сервера. На вэб сервере IIS находится виртуальный каталог Microsoft Exchange ActiveSync, именно к нему подключаются наши мобильные клиенты и именно он требует SSL. (Рис.1)
Рисунок 1. Настройки SSL виртуального каталога Microsoft Exchange ActiveSync
Использование SSL это не параноя разработчиков, а суровая необходимость. Если из Exchange Management Shell используя коммандлет Get-ActiveSyncVirtualDirectory посмотреть настройки вирутального каталога, то становится ясно, что для аутентификации наших пользователей задействован способ аутентификации Basic. (Рис.2)
Basic проверка подлинности — это наиболее простой способ проверки подлинности, при котором запрашиваемые у клиента, имя пользователя и пароль, отправляются на сервер в виде открытого текста. Сервер проверяет корректность имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. При использовании Basic проверки подлинности с SSL имя пользователя и пароль отправляются в виде обычного текста, но сама передача данных шифруется. Поэтому делаем вывод в необходимости использования SSL в производственном использоовании ActiveSync.
Рисунок 2. Просмотр параметров виртуальной директории Active Sync
Для тестирования подключения по Active Sync необязательно наличие мобильного телефона, в век виртуализации все делается гораздо проще. Достачно скачать виртуальные Windows Mobile из комплекта Developer Tool Kit. Существет несколько нюансов, в моей тестовой среде виртуальный Windows Mobile 6.5 запускался на виртуальной машине в среде Hyper-V. И чтобы дать возможность мобильному устройству увидеть сеть, пришлось в свойствах виртуальной машины Hyper-V (в которой стартует windows mobile 6.5 sdk) включить спуфинг мак адресов. (Рис.3) Это даст возможность нашему виртуальному коммуникатору общаться с сетью через виртуальный сетевой адаптер нашей системы.
Но и это еще не все. Что бы Windows Mobile смог увидеть наш Exchange Server, необходимо в настройках эмулятора на закладке Network разрешить использовать сетевой адаптер машины на которой он запущен. (Рис.4) Теперь, когда все подготовительные этапы выполнены, можно перейти в первому подключению.
Рисунок 3. Включение спуфинга мак адресов.
Рисунок 4. Настройка сети в виртуальной Windows Mobile
Дальше все зависит от того, какой сертификат используется вашим сервером, впринципе возможно три варианта:
1. Самоподписный сертификат, созданный при установке Exchange.
2. Сертификат, выданный внутренним центром сертификации.
3. Сертификат, купленный у коммерческого центра
Первый вариант мы сразу отметает, самоподписные сертификаты зло, которое даже в тестовой среде право на жизнь не имеет. Т.е остается вариант два и три. Если с третим вариантом все здорово, то при использовании сертификата от внутреннего центра возникает вопрос доверия. Мобильное стройство не член домена и соответсвенно никакого доверия вашему внутреннему центру сертификации у него нет. Поэтому придется немного пошустрить.
Для начала нам необходим файл цепочки сертификатов, получить который можно несколькими способами, я имея установленный компонент Web Enrollment на центре сертификации, запросил его из браузера. (Рис.5)
Рисунок 5. Запрос цепочки сертификатов через Web Enrollment
Когда файл цепочки сертификатов получен, остается мелочь, доставить его на мобильное устройство. Я пошел следующим путем, временно отключил использование SSL при подключении ActiveSync и разослал его тестовым пользователям. Подключился тестовыми пользователями по ActiveSync без шифрования и добавил цепочку сертификатов.
Отключение SSL на виртуальном каталоге ActiveSync:
1. В диспетчере IIS выбераем Веб-сайт по умолчанию и виртуальный каталог Microsoft-Server-ActiveSync, а затем щелкаем Свойства.
2. На вкладке Безопасность каталога в области Безопасность подключений, щелкаем Изменить.
3. В области Безопасность подключений снимает галку Запросить безопасный канал (SSL).
4. После завершения этой процедуры виртуальный каталог Exchange ActiveSync на веб-сайте более не будет требовать использование протокола SSL.
Далее, на виртуальном мобильном устройсте, настраиваем IP адрес из внутренней сети и когфигурируем ActiveSync подключение для любой учетной записи. Процедура конфигурирания сети мобильного устройства, ровно, как и настройка ActiveSync подробно раскрыта в другой нашей статье. Вас интересует главы «Подключение устройства c Windows Mobile к локальной сети» и «Подключение к Exchange». Либо же эту процедуру можно посмотреть в моем вебкасте по мотивам данной статьи. При подключении вам необходимо добавить файл цепочки сертификатов на мобильное устройство. (Рис.6)
Рисунок. 6 Добавление файла цепочки сертификатов на мобильное устройство
Когда все клиенты получили данный файл, требование SSL шифрования на виртуальном каталоге ActiveSync мы включаем обратно, а на мобильном устройстве заново запускаем настройку ActiveSync и добавляем галку требовать SSL. На выходе получаем полную «секьюрность» при общение мобильного клиента и сервера.
Ну на самом деле безопасность пока не тотальная, мобильное устройство это еще один потенциальный «краник» утечки информации, который при должной снаровке мы можем прикрутить. В Exchange Server существуют специальные политики для мобильных устройств, которые затягивают гайки, причем хотелось бы обратить внимание, что при нашем первом подключении политика по умолчанию уже была применена. Поскольку она довольно демократична и разрешает все что можно, то действия ее мы с вами не заметили
Мы же можем создать несколько политик, каждая из которых может нести разные уровни садизма над сотрудниками и применить их к различных группам подопытных. (Рис.7)
Рисунок. 7 Пример политик почтовых ящиков Exchange ActiveSync
Ничто не мешает создавать политику используя графическую оснастку Exchange Management Console, но я воспользуюсь шэлом (EMS), и создам политику из примера для руководителей организации и для этого выполню команду:
New-ActiveSyncMailboxPolicy -Name ExecutiveSyncPolicy -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -DevicePasswordHistory:28 -AttachmentsEnabled:$true -RequireDeviceEncryption:$true -WSSAccessEnabled:$true
Политика создана, но это еще не все, теперь мы должны применить ее для пользователя или группы пользователей, опять же задействуем EMS:
Get-Mailbox -OrganizationalUnit Users | Set-CasMailbox -ActiveSyncMailboxPolicy ‘ExecutiveSyncPolicy’
Первым командетом мы выбираем все почтовые ящики для пользователей находящихся в контейнере Active Directory – Users, а вторым применяем для них недавно созданную политику. Теперь при следующей синхронизации на мобильном устройстве политика будет обновлена, а сам пользователь получит запрос на устовку пароля. (Рис.8)
Рисунок. 8 Применение новой политики почтовых ящиков Exchange ActiveSync
Отметим, что в новой политике мы задали самый минимум параметров и большую часть интересных фишек оставили за кадром. Описание всех параметров политики и способы редактирования ее через оснастку (EMC) можно найти со следующей статье или в библиотеке TechNet.
Рисунок. 9 Просмотр информации о подключенном устройстве.
Теперь когда устройство синхронизировалось с сервером, мы можем просмотреть информацию о нем. Делается это командлетом Get–ActiveSyncDevice, через который можно посмотреть ПО мобильного устройства, дату последней синхронизации и много всего другово. (Рис.9)
К сожалению мобильные телефоны забываются в транспорте, теряются, крадутся и просто исчезают без следа, а поскольку на них содержится ваша переписка и возможно вложения, то в целях обеспечения безопасности, мы просто обязаны иметь «рычаг» который может потушить пропавшее устройство.
Рычага даже два, один у администратора, второй в владельца телефона, но начнем с админа. В его власти выбрать почтовый ящик и по контекстному меню зайти в раздел Manage Mobile Phone, приэтом ему дается выбор, как поступить с потерянным устройством. (Рис.10)
Remove the mobile phone partnership – запрет на синхронизацию устройства, хотя на самом деле одну синхронизацию выполнить все таки даст, в рамках которой вся почта сохраненная на устройстве будет удалена. Впоследствии при попытке синхронизаций клиент будет получать сообщение об ошибке. Если клиент не синхронизируется, то вся почта продолжает храниться на устройстве.
Рисунок. 10 Управление мобильным устройством клиента.
Preform a remote wipe to clear phone data – «жесткий наезд» удаляющий все сведения Exchange, хранящиеся на мобильном телефоне. При этом желание владельца телефона не спрашивается, а сам телефон уходит в перезагрузку, после которой становится чист. Т.е процедура может использоваться для удаления данных с украденного телефона или для очистки устройства перед назначением его другому пользователю. Опять же в отличие от первого варианта при очистке удаляется все содержимое ОЗУ и карт устройства, фактически вы осуществляете аппаратный сброс удаленного телефона.
Как я уже раньше говорил, при утере мобильника озадачивать администратора не обязательно, возможность сброса устройства есть и у пользователя. Для этого человеку достаточно подключиться к Exchange Control Panel, выбрать устройство и выполнить очистку. (Рис. 11)
Рисунок. 11 Очистка устройства пользователем.
В принципе после отправки команды на очистку устройства, у вас еще есть возможность ее отменить, если синхронизация пока не прошла, то можно попробовать указать “Cancel Device Wipe” и остановить неизбежное. Если вдруг после очистки устройства вам понадобится его снова подключить через ActiveSync, то там же в Exchange Control Panel устройство необходимо удалить из списка. В противном случае повторная попытка подключения устройства закончится очередным сбросом.
Возможность удалить заблокированное устройство для повторного подключения есть и у администратора, делается это легко через коммандлеты EMS:
1. Получаем список мобильных устройств и смотрим их имена и идентификаторы
Get-ActiveSyncDevice | ft Name,GUID -AutoSize
2. Удаляем устройство, указав его GUID
Remove-ActiveSyncDevice -Identity 0ccad52f-d899-471f-af7d-09a6bcafec7e
После удаления устройства из списка, ничто не мешает подключить его к Exchange заново и использовать впоследствии.
Пока мы очищали мобильное устройства, часть вас могла заметить, что в ECP панели есть блок “Text Messaging” (Рис.10) где вроде скрыта возможность отправки SMS из почтового ящика. Exchange Server 2010 позволяет отправлять и принимать SMS через Outlook или OWA, используя коммуникатор под управлением Windows Mobile 6.1 и старше, подключенный по протоколу ActiveSync.
Сценарий очень простой, при синхронизации мобильного устройства, вы указываете, что желаете синхронизировать и SMS сообщения. После чего, используя Outlook, создаете SMS, которое уходит по ActiveSync на устройство и отправляется через оператора. Опять же входящие на устройство SMS попадают в ваш почтовый ящик. (Рис.12)
Рисунок. 12 Работа с SMS в Exchange 2010
Если никакие функций по синхронизации SMS при подключении у вас не появились (как на Рис.13), необходимо перейти по ссылке файла обновления Outlook Mobile: https://outlook.vo.msecnd.net/OutlookMobileSetup.cab и скачать данный инсталлятор, после чего загрузить само обновление.
Рисунок. 13 Отправка сообщений из OWA после настройки синхронизации SMS
На финишной прямой после синхронизации с установленным обновлением, у вас должна появиться возможность работы с SMS. (Рис.13)
В процессе подключения мобильного устройства я всегда явно указывал имя сервера клиентского доступа, к которому хотел подключиться, на самом деле это не дефолтный вариант, вариантом по умолчанию является использование службы автообнаружения.
Служба Автообнаружения – позволяет, указав электронный адрес и пароль автоматически получить имя сервера клиентского доступа, тем самым упростив жизнь конечному пользователю устройства. (Рис.14)
Рисунок. 14 Работа службы Автообнаружения
Как же работает данная служба?
1. Клиент вводит на своем устройстве электронный адрес и пароль, при этом галочка выбора автоматического обнаружения (Attempt to detect Exchange Server Settings automatically) должна стоять. (Рис. 15)
Рисунок. 15 Выбор при настройке Автообнаружения
2. Коммуникатор обращается к DNS и запрашивает SRV запись для указанного почтового домена. Соответственно эта запись должна быть заблаговременно добавлена администратором во внешнюю зону DNS.
Пример записи: _autodiscover._tcp IN SRV 0 0 443 beta.itband.ru
По самой записи можно сделать вывод о том, что файл с настройками можно получить на сервере beta.itband.ru если обратиться к нему по 443 порту с использованием TCP.
3. Коммуникатор использует Secure Sockets Layer (SSL) соединение для подключения через брандмауэр к виртуальному каталогу службы автообнаружения. Служба автообнаружения собирает XML-ответ, основанный на данных предоставленных пользователем.
4. Служба автообнаружения посылает XML-ответ через брандмауэр по SSL. Этот ответ XML интерпретируется коммуникатором, и параметры синхронизации автоматически настраиваются на мобильном телефоне.
Рисунок. 16 Процесс получения настроек от службы Автообнаружения
Возможность использования автоматического обнаружения зависит от операционной системы мобильного телефона, который вы используете. Не все операционные системы поддерживают автоматическое обнаружение. Например, Windows Mobile 5.0 не поддерживает такую функцию.
На этом моменте хотелось бы закончить первую часть статьи. Продолжение следует…
MCT/MVP Илья Рудь
Посредством Exchange ActiveSync пользователи могут получить доступ с повышенным уровнем безопасности к своим почтовым ящикам Exchange с устройств, работа которых основана на технологиях Microsoft Windows Mobile®, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов. Пользователи могут синхронизировать сообщения электронной почты, встречи, контактные данные и задачи в своих почтовых ящиках и использовать эту информацию, если мобильное устройство работает в автономном режиме.
При использовании Exchange Server 2007 или Exchange Server 2010 проверку подлинности подключения ActiveSync можно выполнять с использованием проверки подлинности на основе сертификатов клиентов. Forefront TMG поддерживает ограниченное делегирование Kerberos, что позволяет Forefront TMG выполнять проверку подлинности клиентского подключения с помощью клиентского сертификата и получать билет Kerberos. Этот билет может быть предоставлен опубликованному веб-серверу, который принимает билет Kerberos вместо учетных данных клиента.
Чтобы настроить публикацию ActiveSync
Чтобы настроить публикацию ActiveSync В дереве консоли управления Forefront TMG щелкните узел Политика межсетевого экрана.
В области Задачи перейдите на вкладку Инструментарий.
На вкладке Инструментарий щелкните Сетевые объекты, нажмите кнопку Создать, затем выберите пункт Веб-прослушиватель, чтобы открыть мастер создания веб-прослушивателя.
Завершите настройки с помощью мастера создания веб-прослушивателя, как показано в таблице.
| Страница | Поле или свойство | Параметр или действие | ||
|---|---|---|---|---|
| Страница | Поле или свойство | Параметр или действие |
|---|---|---|
| Примечание. |
|---|
|
На странице IP-адреса веб-прослушивателя мастера создания веб-прослушивателя можно выбрать IP-адреса по умолчанию для сетевых плат этой сети. Если включена балансировка нагрузки сети, этот параметр автоматически выберет виртуальный IP-адрес. В противном случае для каждой сетевой платы будет автоматически выбран IP-адрес по умолчанию.
Если используется проверка учетных данных RADIUS, компьютер Forefront TMG должен быть зарегистрирован в качестве клиента RADIUS на RADIUS-сервере, а системная политика RADIUS должна быть включена, чтобы разрешать трафик RADIUS с компьютера Forefront TMG (сеть локального узла) во внутреннюю сеть. Это правило предполагает, что RADIUS-сервер расположен во внутренней сети.
Если вы выбираете проверку учетных данных RADIUS, LDAP или RADIUS OTP, необходимо изменить настройки веб-прослушивателя, который вы создали, и указать серверы RADIUS или LDAP, на которые будут отправляться запросы при проверке подлинности.
Exchange ActiveSync поддерживается только в Exchange Server 2003 и Exchange Server 2007.
При помощи Exchange ActiveSync пользователи могут безопасно синхронизировать почтовые ящики Exchange с устройствами, основанными на технологиях Microsoft Windows Mobile, таких как Windows Mobile 2003 для карманных ПК, включая Pocket PC Phone Edition, и Windows Mobile 2003 для смартфонов.
Forefront TMG использует заголовок User-Agent в запросе клиента для определения HTML-формы, которая будет использоваться в ответе, возвращаемом в веб-браузер. Поддерживаемые типы форм – это HTML 4.01, XHTML-MP и cHTML. Если заголовок User-Agent в запросе не сопоставлен с форматом, Forefront TMG возвращается к обычной проверке подлинности.
Пользователи подключаются к Exchange ActiveSync путем открытия URL-адреса, который обычно имеет вид https://имя_узла/Microsoft-Server-ActiveSync. Возможно, потребуется изменить сопоставление между путями, указываемыми пользователями, и внутренними путями на вкладке Пути в свойствах правила веб-публикации.
Дополнительные сведения о других параметрах, используемых в правилах веб-публикации, см. в разделе Планирование публикации.
