Nasazujeme Exchange 2013 SP1 - díl 4.

Vítejte u čtvrtého dílu seriálu, který se zabývá nasazením a optimalizací Microsoft Exchange Serveru 2013 SP1.

V dnešní části seriálu se budeme věnovat nastavení Client Access server role, která je v Exchange Server 2013 z hlediska správce naprosto klíčová – všichni naši klienti totiž komunikují s Exchange organizací jen a pouze skrz zabezpečené připojení ke Client Access serveru. V následující kapitole budeme nastavovat CAS servery.

Autodiscover

Autodiscover je Exchange služba, která se stará o nastavení klienta, ke kterému dochází buď při jeho úvodní konfiguraci po zadání emailové adresy a hesla uživatele, nebo opakovaně, pro ověření případných změn v rámci Exchange organizace. Klient tím pádem nemusí znát žádné technické informace, musí si pamatovat jen svůj vlastní email a heslo.

Jak funguje Autodiscover:

  • Klient si z emailové adresy uživatele bere jméno domény – tedy to, co je za „@“, zavináčem. Pokud je např. moje primární SMTP adresa zbynek.salon@kpcs.cz, tak dále bude pracovat s doménou „kpcs.cz“
  • Skrze DNS překlad se pokouší najít Autodiscover záznam. Ten může být ve třech tvarech:
  • A záznam kpcs.cz domény.
  • A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
  • SRV záznam „_autodiscover“
  • Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange server do virtuální cesty „<jméno serveru>/autodiscover/autodiscover.xml“.
  • Po nezbytné autentizaci klient od webové služby obdrží konfigurační XML soubor, pomocí něhož je klient nakonfigurován

Služba Autodiscover se sama o sobě nekonfiguruje. Nastavení, která posílá klientovi, si bere z konfigurace ostatních relevantních služeb. Je naprosto nezbytné, aby informace, které Autodiscover vrací klientům, byly správné. Jinak klient nebude schopen nalézt služby Exchange a nebude tak schopen korektně fungovat. Správnost zaslaných informací, můžeme ověřit pomocí klienta Outlook:

  • Na hlavní liště Windows, vedle systémových hodin klepneme s přidrženou klávesou CTRL pravým tlačítkem na ikonu Outlook a vybereme volbu „Test E-mail AutoConfiguration“
  • Zadáme emailovou adresu a heslo
Klepněte pro větší obrázek
Obr. 1: Test E-mail AutoConfiguration

Ověříme, že adresy, na kterých jsou klientům poskytovány jednotlivé služby, jsou v pořádku a platné. V případě, že nalezneme chybu, je nutné ji v dané služně opravit.

Více na: http://technet.microsoft.com/cs-cz/library/bb124251(v=exchg.150).aspx

Outlook Web App (OWA)

Outlook Web App je rozhraní uzpůsobené pro internetové prohlížeče. Nejen pro Internet Explorer, ale i další a na různých platformách/zařízeních. Jedná se o ideální přístup k Exchange v momentě, kdy uživatel nemůže používat svůj vlastní počítač (např. na dovolené).

Pro správné fungování OWA je potřeba provést několik konfiguračních kroků:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu OWA -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace, případně na dalších záložkách nastavujeme požadované chování OWA (např. režim chování při přístupu z veřejného a privátního počítače (Public přístup k přílohám jen pomocí WebReady; Private přístup ke všemu), atd.)
Klepněte pro větší obrázek
Obr. 2: Nastavení OWA

Nastavení Exchange ActiveSync

ActiveSync umí kromě synchronizace dat – typicky emaily, kontakty a kalendář – synchronizovat na mobilní klienty i další, hlavně bezpečnostní nastavení. Jedná o velmi důležitou komponentu ActiveSync – v poštovních schránkách se dnes nachází celé množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že je vám ukraden váš mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon restartovat a vrátit do továrního nastavení (poznámka: tedy vlastně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit např. i šifrování těchto dat. Tím pádem zcizení telefonu a datové karty neumožní útočníkovi získat citlivá žádná data.

Nastavení virtuálního adresáře provedeme podobně jako v předchozím případě v EAC:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu ActiveSync -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace
Klepněte pro větší obrázek
Obr. 3: Nastavení Exchange ActiveSync

Pro správné a požadované fungování synchronizace mobilních klientů s Exchange serverem pomocí ActiveSync je potřeba nastavit politiky, jejichž nastavení se budou na klienty aplikovat:

  • EAC: Mobile -> Mobile Device Mailbox Policies -> vybereme požadovanou politiku -> klikneme na ikonku tužky
  • Nastavíme potřebné parametry

Pozor! EAC neumí nastavit veškeré parametry politik mobilních zařízení. Pro jejich plné nastavení je potřeba použít Powershell (EMS).

Klepněte pro větší obrázek
Obr. 4: Nastavení Mobile Device Mailbox policy

Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je také možnost správy přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon v momentě, kdy se pohybujete v zahraničí (poznámka: bohužel je nutné u každého zařízení ověřit, jaké volby v rámci ActiveSync aplikuje – záleží jen na výrobci, co umožní pomocí ActiveSync nastavit). Všechna tato nastavení jsou přístupná přes EMS.

Více na: http://technet.microsoft.com/en-us/library/aa998357(v=exchg.150).aspx

Nastavení Outlook Anywhere

Outlook Anywhere se stal v Exchange serveru 2013 jedinou možností připojení pro klienty Microsoft Office Outlook. A to i na lokální síti! Aby naši Ověřit klienti mohli komunikovat s Exchange serverem pomocí této komunikace (RPC over HTTPS a nově MAPI over HTTPS pro Exchange 2013 SP1 a novější), je potřeba provést patřičná nastavení.

Toho docílíme následovně:

  • EAC: Servers -> Vybereme požadovaný server -> klikneme na ikonku tužky
  • Na záložce Outlook Anywhere vyplníme externí a interní jméno, které bude navázáno na Outlook Anywhere
  • Povolíme SSL Offloading, pokud máme nainstalovánu Exchange 2013 SP1 nebo novější

Pozor! Je nutné, aby se jméno nastavené na záložce Outlook Anywhere shodovalo se jménem v certifikátu pro webové služby. V případě, že zde nedojde ke shodě, bude uživatelům neustále vyskakovat na obrazovku nepříjemný dialog a informovat je o neshodě jmen v certifikátu a konkrétní služby.

Klepněte pro větší obrázek
Obr. 5: Nastavení Outlook Anywhere

Pozor na volbu klientské autentizace. V případě použití Basic autentizace máte sice 100% jistotu jejího fungování, ale klient bude při použití Outlook Anywhere vždy (!) dotázán na heslo, bez možnosti jej uložit. Pokud vyberete autentizaci pomocí NTLM, jde sice heslo na klientovi uložit a uživatel tak nebude na heslo opakovaně dotazován, nicméně pozor, NTLM autentizace neprochází mnoha síťovými prvky a tak je možné, že nebude fungovat všude.

Závěrem

V příštím díle si popíšeme možnosti provozování Exchange serverů v režimu vysoké dostupnosti.

Tým KPCS CZ (www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Exchange, Salon

Nejnovější komentáře

Můj názor
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76