Nasazujeme Exchange 2013 SP1 - díl 4.

Vítejte u čtvrtého dílu seriálu, který se zabývá nasazením a optimalizací Microsoft Exchange Serveru 2013 SP1.

V dnešní části seriálu se budeme věnovat nastavení Client Access server role, která je v Exchange Server 2013 z hlediska správce naprosto klíčová – všichni naši klienti totiž komunikují s Exchange organizací jen a pouze skrz zabezpečené připojení ke Client Access serveru. V následující kapitole budeme nastavovat CAS servery.

Autodiscover

Autodiscover je Exchange služba, která se stará o nastavení klienta, ke kterému dochází buď při jeho úvodní konfiguraci po zadání emailové adresy a hesla uživatele, nebo opakovaně, pro ověření případných změn v rámci Exchange organizace. Klient tím pádem nemusí znát žádné technické informace, musí si pamatovat jen svůj vlastní email a heslo.

Jak funguje Autodiscover:

  • Klient si z emailové adresy uživatele bere jméno domény – tedy to, co je za „@“, zavináčem. Pokud je např. moje primární SMTP adresa zbynek.salon@kpcs.cz, tak dále bude pracovat s doménou „kpcs.cz“
  • Skrze DNS překlad se pokouší najít Autodiscover záznam. Ten může být ve třech tvarech:
  • A záznam kpcs.cz domény.
  • A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
  • SRV záznam „_autodiscover“
  • Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange server do virtuální cesty „<jméno serveru>/autodiscover/autodiscover.xml“.
  • Po nezbytné autentizaci klient od webové služby obdrží konfigurační XML soubor, pomocí něhož je klient nakonfigurován

Služba Autodiscover se sama o sobě nekonfiguruje. Nastavení, která posílá klientovi, si bere z konfigurace ostatních relevantních služeb. Je naprosto nezbytné, aby informace, které Autodiscover vrací klientům, byly správné. Jinak klient nebude schopen nalézt služby Exchange a nebude tak schopen korektně fungovat. Správnost zaslaných informací, můžeme ověřit pomocí klienta Outlook:

  • Na hlavní liště Windows, vedle systémových hodin klepneme s přidrženou klávesou CTRL pravým tlačítkem na ikonu Outlook a vybereme volbu „Test E-mail AutoConfiguration“
  • Zadáme emailovou adresu a heslo
Klepněte pro větší obrázek
Obr. 1: Test E-mail AutoConfiguration

Ověříme, že adresy, na kterých jsou klientům poskytovány jednotlivé služby, jsou v pořádku a platné. V případě, že nalezneme chybu, je nutné ji v dané služně opravit.

Více na: http://technet.microsoft.com/cs-cz/library/bb124251(v=exchg.150).aspx

Outlook Web App (OWA)

Outlook Web App je rozhraní uzpůsobené pro internetové prohlížeče. Nejen pro Internet Explorer, ale i další a na různých platformách/zařízeních. Jedná se o ideální přístup k Exchange v momentě, kdy uživatel nemůže používat svůj vlastní počítač (např. na dovolené).

Pro správné fungování OWA je potřeba provést několik konfiguračních kroků:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu OWA -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace, případně na dalších záložkách nastavujeme požadované chování OWA (např. režim chování při přístupu z veřejného a privátního počítače (Public přístup k přílohám jen pomocí WebReady; Private přístup ke všemu), atd.)
Klepněte pro větší obrázek
Obr. 2: Nastavení OWA

Nastavení Exchange ActiveSync

ActiveSync umí kromě synchronizace dat – typicky emaily, kontakty a kalendář – synchronizovat na mobilní klienty i další, hlavně bezpečnostní nastavení. Jedná o velmi důležitou komponentu ActiveSync – v poštovních schránkách se dnes nachází celé množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že je vám ukraden váš mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon restartovat a vrátit do továrního nastavení (poznámka: tedy vlastně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit např. i šifrování těchto dat. Tím pádem zcizení telefonu a datové karty neumožní útočníkovi získat citlivá žádná data.

Nastavení virtuálního adresáře provedeme podobně jako v předchozím případě v EAC:

  • EAC: Servers -> Virtual Directories -> vybereme virtuální adresář požadovaného serveru a pro službu ActiveSync -> klikneme na ikonku tužky
  • Ve vyskakovacím okně Na záložce „General“ zadáme jméno, které bude použito při interním a externím přístupu – pokud jsme již dříve prošli průvodcem vystavení certifikátu a jeho následném nasazení do systému, budou jména nastavena podle něho
  • Na záložce „Authentication“ vybíráme typ požadované autentizace
Klepněte pro větší obrázek
Obr. 3: Nastavení Exchange ActiveSync

Pro správné a požadované fungování synchronizace mobilních klientů s Exchange serverem pomocí ActiveSync je potřeba nastavit politiky, jejichž nastavení se budou na klienty aplikovat:

  • EAC: Mobile -> Mobile Device Mailbox Policies -> vybereme požadovanou politiku -> klikneme na ikonku tužky
  • Nastavíme potřebné parametry

Pozor! EAC neumí nastavit veškeré parametry politik mobilních zařízení. Pro jejich plné nastavení je potřeba použít Powershell (EMS).

Klepněte pro větší obrázek
Obr. 4: Nastavení Mobile Device Mailbox policy

Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je také možnost správy přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon v momentě, kdy se pohybujete v zahraničí (poznámka: bohužel je nutné u každého zařízení ověřit, jaké volby v rámci ActiveSync aplikuje – záleží jen na výrobci, co umožní pomocí ActiveSync nastavit). Všechna tato nastavení jsou přístupná přes EMS.

Více na: http://technet.microsoft.com/en-us/library/aa998357(v=exchg.150).aspx

Nastavení Outlook Anywhere

Outlook Anywhere se stal v Exchange serveru 2013 jedinou možností připojení pro klienty Microsoft Office Outlook. A to i na lokální síti! Aby naši Ověřit klienti mohli komunikovat s Exchange serverem pomocí této komunikace (RPC over HTTPS a nově MAPI over HTTPS pro Exchange 2013 SP1 a novější), je potřeba provést patřičná nastavení.

Toho docílíme následovně:

  • EAC: Servers -> Vybereme požadovaný server -> klikneme na ikonku tužky
  • Na záložce Outlook Anywhere vyplníme externí a interní jméno, které bude navázáno na Outlook Anywhere
  • Povolíme SSL Offloading, pokud máme nainstalovánu Exchange 2013 SP1 nebo novější

Pozor! Je nutné, aby se jméno nastavené na záložce Outlook Anywhere shodovalo se jménem v certifikátu pro webové služby. V případě, že zde nedojde ke shodě, bude uživatelům neustále vyskakovat na obrazovku nepříjemný dialog a informovat je o neshodě jmen v certifikátu a konkrétní služby.

Klepněte pro větší obrázek
Obr. 5: Nastavení Outlook Anywhere

Pozor na volbu klientské autentizace. V případě použití Basic autentizace máte sice 100% jistotu jejího fungování, ale klient bude při použití Outlook Anywhere vždy (!) dotázán na heslo, bez možnosti jej uložit. Pokud vyberete autentizaci pomocí NTLM, jde sice heslo na klientovi uložit a uživatel tak nebude na heslo opakovaně dotazován, nicméně pozor, NTLM autentizace neprochází mnoha síťovými prvky a tak je možné, že nebude fungovat všude.

Závěrem

V příštím díle si popíšeme možnosti provozování Exchange serverů v režimu vysoké dostupnosti.

Tým KPCS CZ (www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Exchange, Moment, Salon

Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

Včera | Pavel Tronner | 31

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

** Legendární hra Starcraft je nyní k dispozici zdarma ** Chystá se i nová remasterovaná verze s hezčí grafikou

19.  4.  2017 | Jakub Čížek | 25

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31