Vítejte u čtvrtého dílu seriálu, který se zabývá nasazením a optimalizací Microsoft Exchange Serveru 2013 SP1.
V dnešní části seriálu se budeme věnovat nastavení Client Access server role, která je v Exchange Server 2013 z hlediska správce naprosto klíčová – všichni naši klienti totiž komunikují s Exchange organizací jen a pouze skrz zabezpečené připojení ke Client Access serveru. V následující kapitole budeme nastavovat CAS servery.
Autodiscover
Autodiscover je Exchange služba, která se stará o nastavení klienta, ke kterému dochází buď při jeho úvodní konfiguraci po zadání emailové adresy a hesla uživatele, nebo opakovaně, pro ověření případných změn v rámci Exchange organizace. Klient tím pádem nemusí znát žádné technické informace, musí si pamatovat jen svůj vlastní email a heslo.
Jak funguje Autodiscover:
- Klient si z emailové adresy uživatele bere jméno domény – tedy to, co je za „@“, zavináčem. Pokud je např. moje primární SMTP adresa zbynek.salon@kpcs.cz, tak dále bude pracovat s doménou „kpcs.cz“
- Skrze DNS překlad se pokouší najít Autodiscover záznam. Ten může být ve třech tvarech:
- A záznam kpcs.cz domény.
- A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
- SRV záznam „_autodiscover“
- Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange server do virtuální cesty „<jméno serveru>/autodiscover/autodiscover.xml“.
- Po nezbytné autentizaci klient od webové služby obdrží konfigurační XML soubor, pomocí něhož je klient nakonfigurován
Služba Autodiscover se sama o sobě nekonfiguruje. Nastavení, která posílá klientovi, si bere z konfigurace ostatních relevantních služeb. Je naprosto nezbytné, aby informace, které Autodiscover vrací klientům, byly správné. Jinak klient nebude schopen nalézt služby Exchange a nebude tak schopen korektně fungovat. Správnost zaslaných informací, můžeme ověřit pomocí klienta Outlook:
- Na hlavní liště Windows, vedle systémových hodin klepneme s přidrženou klávesou CTRL pravým tlačítkem na ikonu Outlook a vybereme volbu „Test E-mail AutoConfiguration“
- Zadáme emailovou adresu a heslo
Obr. 1: Test E-mail AutoConfiguration
Ověříme, že adresy, na kterých jsou klientům poskytovány jednotlivé služby, jsou v pořádku a platné. V případě, že nalezneme chybu, je nutné ji v dané služně opravit.
Více na: http://technet.microsoft.com/cs-cz/library/bb124251(v=exchg.150).aspx
Outlook Web App (OWA)
Outlook Web App je rozhraní uzpůsobené pro internetové prohlížeče. Nejen pro Internet Explorer, ale i další a na různých platformách/zařízeních. Jedná se o ideální přístup k Exchange v momentě, kdy uživatel nemůže používat svůj vlastní počítač (např. na dovolené).
Pro správné fungování OWA je potřeba provést několik konfiguračních kroků:
- EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu OWA -> klikneme na ikonku tužky
- Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
- Na záložce „Authentication“ vybíráme typ požadované autentizace, případně na dalších záložkách nastavujeme požadované chování OWA (např. režim chování při přístupu z veřejného a privátního počítače (Public přístup k přílohám jen pomocí WebReady; Private přístup ke všemu), atd.)
Obr. 2: Nastavení OWA
Nastavení Exchange ActiveSync
ActiveSync umí kromě synchronizace dat – typicky emaily, kontakty a kalendář – synchronizovat na mobilní klienty i další, hlavně bezpečnostní nastavení. Jedná o velmi důležitou komponentu ActiveSync – v poštovních schránkách se dnes nachází celé množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že je vám ukraden váš mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon restartovat a vrátit do továrního nastavení (poznámka: tedy vlastně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit např. i šifrování těchto dat. Tím pádem zcizení telefonu a datové karty neumožní útočníkovi získat citlivá žádná data.
Nastavení virtuálního adresáře provedeme podobně jako v předchozím případě v EAC:
- EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu ActiveSync -> klikneme na ikonku tužky
- Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
- Na záložce „Authentication“ vybíráme typ požadované autentizace
Obr. 3: Nastavení Exchange ActiveSync
Pro správné a požadované fungování synchronizace mobilních klientů s Exchange serverem pomocí ActiveSync je potřeba nastavit politiky, jejichž nastavení se budou na klienty aplikovat:
- EAC: Mobile -> Mobile Device Mailbox Policies -> vybereme požadovanou politiku -> klikneme na ikonku tužky
- Nastavíme potřebné parametry
Pozor! EAC neumí nastavit veškeré parametry politik mobilních zařízení. Pro jejich plné nastavení je potřeba použít Powershell (EMS).
Obr. 4: Nastavení Mobile Device Mailbox policy
Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je také možnost správy přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon v momentě, kdy se pohybujete v zahraničí (poznámka: bohužel je nutné u každého zařízení ověřit, jaké volby v rámci ActiveSync aplikuje – záleží jen na výrobci, co umožní pomocí ActiveSync nastavit). Všechna tato nastavení jsou přístupná přes EMS.
Více na: http://technet.microsoft.com/en-us/library/aa998357(v=exchg.150).aspx
Nastavení Outlook Anywhere
Outlook Anywhere se stal v Exchange serveru 2013 jedinou možností připojení pro klienty Microsoft Office Outlook. A to i na lokální síti! Aby naši Ověřit klienti mohli komunikovat s Exchange serverem pomocí této komunikace (RPC over HTTPS a nově MAPI over HTTPS pro Exchange 2013 SP1 a novější), je potřeba provést patřičná nastavení.
Toho docílíme následovně:
- EAC: Servers -> Vybereme požadovaný server -> klikneme na ikonku tužky
- Na záložce Outlook Anywhere vyplníme externí a interní jméno, které bude navázáno na Outlook Anywhere
- Povolíme SSL Offloading, pokud máme nainstalovánu Exchange 2013 SP1 nebo novější
Pozor! Je nutné, aby se jméno nastavené na záložce Outlook Anywhere shodovalo se jménem v certifikátu pro webové služby. V případě, že zde nedojde ke shodě, bude uživatelům neustále vyskakovat na obrazovku nepříjemný dialog a informovat je o neshodě jmen v certifikátu a konkrétní služby.
Obr. 5: Nastavení Outlook Anywhere
Pozor na volbu klientské autentizace. V případě použití Basic autentizace máte sice 100% jistotu jejího fungování, ale klient bude při použití Outlook Anywhere vždy (!) dotázán na heslo, bez možnosti jej uložit. Pokud vyberete autentizaci pomocí NTLM, jde sice heslo na klientovi uložit a uživatel tak nebude na heslo opakovaně dotazován, nicméně pozor, NTLM autentizace neprochází mnoha síťovými prvky a tak je možné, že nebude fungovat všude.
Závěrem
V příštím díle si popíšeme možnosti provozování Exchange serverů v režimu vysoké dostupnosti.
Tým KPCS CZ (www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.