Nasazujeme Exchange 2013 SP1 - díl 4.

Vítejte u čtvrtého dílu seriálu, který se zabývá nasazením a optimalizací Microsoft Exchange Serveru 2013 SP1.

V dnešní části seriálu se budeme věnovat nastavení Client Access server role, která je v Exchange Server 2013 z hlediska správce naprosto klíčová – všichni naši klienti totiž komunikují s Exchange organizací jen a pouze skrz zabezpečené připojení ke Client Access serveru. V následující kapitole budeme nastavovat CAS servery.

Autodiscover

Autodiscover je Exchange služba, která se stará o nastavení klienta, ke kterému dochází buď při jeho úvodní konfiguraci po zadání emailové adresy a hesla uživatele, nebo opakovaně, pro ověření případných změn v rámci Exchange organizace. Klient tím pádem nemusí znát žádné technické informace, musí si pamatovat jen svůj vlastní email a heslo.

Jak funguje Autodiscover:

  • Klient si z emailové adresy uživatele bere jméno domény – tedy to, co je za „@“, zavináčem. Pokud je např. moje primární SMTP adresa zbynek.salon@kpcs.cz, tak dále bude pracovat s doménou „kpcs.cz“
  • Skrze DNS překlad se pokouší najít Autodiscover záznam. Ten může být ve třech tvarech:
  • A záznam kpcs.cz domény.
  • A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
  • SRV záznam „_autodiscover“
  • Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange server do virtuální cesty „<jméno serveru>/autodiscover/autodiscover.xml“.
  • Po nezbytné autentizaci klient od webové služby obdrží konfigurační XML soubor, pomocí něhož je klient nakonfigurován

Služba Autodiscover se sama o sobě nekonfiguruje. Nastavení, která posílá klientovi, si bere z konfigurace ostatních relevantních služeb. Je naprosto nezbytné, aby informace, které Autodiscover vrací klientům, byly správné. Jinak klient nebude schopen nalézt služby Exchange a nebude tak schopen korektně fungovat. Správnost zaslaných informací, můžeme ověřit pomocí klienta Outlook:

  • Na hlavní liště Windows, vedle systémových hodin klepneme s přidrženou klávesou CTRL pravým tlačítkem na ikonu Outlook a vybereme volbu „Test E-mail AutoConfiguration“
  • Zadáme emailovou adresu a heslo
Klepněte pro větší obrázek
Obr. 1: Test E-mail AutoConfiguration

Ověříme, že adresy, na kterých jsou klientům poskytovány jednotlivé služby, jsou v pořádku a platné. V případě, že nalezneme chybu, je nutné ji v dané služně opravit.

Více na: http://technet.microsoft.com/cs-cz/library/bb124251(v=exchg.150).aspx

Outlook Web App (OWA)

Outlook Web App je rozhraní uzpůsobené pro internetové prohlížeče. Nejen pro Internet Explorer, ale i další a na různých platformách/zařízeních. Jedná se o ideální přístup k Exchange v momentě, kdy uživatel nemůže používat svůj vlastní počítač (např. na dovolené).

Pro správné fungování OWA je potřeba provést několik konfiguračních kroků:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu OWA -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace, případně na dalších záložkách nastavujeme požadované chování OWA (např. režim chování při přístupu z veřejného a privátního počítače (Public přístup k přílohám jen pomocí WebReady; Private přístup ke všemu), atd.)
Klepněte pro větší obrázek
Obr. 2: Nastavení OWA

Nastavení Exchange ActiveSync

ActiveSync umí kromě synchronizace dat – typicky emaily, kontakty a kalendář – synchronizovat na mobilní klienty i další, hlavně bezpečnostní nastavení. Jedná o velmi důležitou komponentu ActiveSync – v poštovních schránkách se dnes nachází celé množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že je vám ukraden váš mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon restartovat a vrátit do továrního nastavení (poznámka: tedy vlastně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit např. i šifrování těchto dat. Tím pádem zcizení telefonu a datové karty neumožní útočníkovi získat citlivá žádná data.

Nastavení virtuálního adresáře provedeme podobně jako v předchozím případě v EAC:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu ActiveSync -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace
Klepněte pro větší obrázek
Obr. 3: Nastavení Exchange ActiveSync

Pro správné a požadované fungování synchronizace mobilních klientů s Exchange serverem pomocí ActiveSync je potřeba nastavit politiky, jejichž nastavení se budou na klienty aplikovat:

  • EAC: Mobile -> Mobile Device Mailbox Policies -> vybereme požadovanou politiku -> klikneme na ikonku tužky
  • Nastavíme potřebné parametry

Pozor! EAC neumí nastavit veškeré parametry politik mobilních zařízení. Pro jejich plné nastavení je potřeba použít Powershell (EMS).

Klepněte pro větší obrázek
Obr. 4: Nastavení Mobile Device Mailbox policy

Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je také možnost správy přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon v momentě, kdy se pohybujete v zahraničí (poznámka: bohužel je nutné u každého zařízení ověřit, jaké volby v rámci ActiveSync aplikuje – záleží jen na výrobci, co umožní pomocí ActiveSync nastavit). Všechna tato nastavení jsou přístupná přes EMS.

Více na: http://technet.microsoft.com/en-us/library/aa998357(v=exchg.150).aspx

Nastavení Outlook Anywhere

Outlook Anywhere se stal v Exchange serveru 2013 jedinou možností připojení pro klienty Microsoft Office Outlook. A to i na lokální síti! Aby naši Ověřit klienti mohli komunikovat s Exchange serverem pomocí této komunikace (RPC over HTTPS a nově MAPI over HTTPS pro Exchange 2013 SP1 a novější), je potřeba provést patřičná nastavení.

Toho docílíme následovně:

  • EAC: Servers -> Vybereme požadovaný server -> klikneme na ikonku tužky
  • Na záložce Outlook Anywhere vyplníme externí a interní jméno, které bude navázáno na Outlook Anywhere
  • Povolíme SSL Offloading, pokud máme nainstalovánu Exchange 2013 SP1 nebo novější

Pozor! Je nutné, aby se jméno nastavené na záložce Outlook Anywhere shodovalo se jménem v certifikátu pro webové služby. V případě, že zde nedojde ke shodě, bude uživatelům neustále vyskakovat na obrazovku nepříjemný dialog a informovat je o neshodě jmen v certifikátu a konkrétní služby.

Klepněte pro větší obrázek
Obr. 5: Nastavení Outlook Anywhere

Pozor na volbu klientské autentizace. V případě použití Basic autentizace máte sice 100% jistotu jejího fungování, ale klient bude při použití Outlook Anywhere vždy (!) dotázán na heslo, bez možnosti jej uložit. Pokud vyberete autentizaci pomocí NTLM, jde sice heslo na klientovi uložit a uživatel tak nebude na heslo opakovaně dotazován, nicméně pozor, NTLM autentizace neprochází mnoha síťovými prvky a tak je možné, že nebude fungovat všude.

Závěrem

V příštím díle si popíšeme možnosti provozování Exchange serverů v režimu vysoké dostupnosti.

Tým KPCS CZ (www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Exchange, Moment, Salon

Určitě si přečtěte

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Nové úlovky kamer Googlu: Šmírovačka na Street View nepřestává bavit

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

19.  5.  2017 | redakce | 38

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

Nastal čas znovu vynalézt klávesnici. Anebo vám ta současná opravdu vyhovuje?

**Měli bychom provést revoluci klávesnice? ** Anebo je její dnes už hodně zastaralý koncept prostě nejlepší? ** Budeme na klávesnici odkázaní už navždy?

20.  5.  2017 | Jakub Čížek | 58

Google I/O 2017: Nový jazyk pro Android, asistentka pro iPhone a všudypřítomná umělá inteligence

Google I/O 2017: Nový jazyk pro Android, asistentka pro iPhone a všudypřítomná umělá inteligence

** Android se naučil jazyk Kotlin ** Google bude konkurovat Siri ** A jeho druhé jméno je umělá inteligence. Je prostě všude

17.  5.  2017 | Jakub Čížek | 24


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5