Monday, December 11th, 2017

Как публиковать Microsoft Exchange Active Sync (EAS) с помощью ISA Server 2006 (часть 1)

Published on Февраль 17, 2009 by   ·   Комментариев нет

Введение

В первой части этого цикла статей я предоставлю вам некоторую базовую информацию о том, как Exchange Direct push работает и какие шаги необходимо выполнить на сайте Exchange и IIS, чтобы опубликовать Microsoft Exchange Active Sync.

Exchange Server 2003 предоставляет безопасный доступ к почтовым ящикам сервера Exchange Server для мобильных устройств с клиентами Windows Mobile 5 и более новых версий. С каждой версией Exchange Server компания Microsoft расширяет и упрощает работу с мобильными устройствами, но всегда остается один и тот же вопрос о том, как обеспечить безопасный мобильный доступ с клиентов Mobile к вашей внутренней сети. Самые лучшие рабочие возможности Windows Mobile для Exchange Server 2003 идут с пакетом обновления Service Pack 2. Exchange Server 2007 предлагает гораздо больше улучшенных и новых мобильных функций Windows, чем его предшественник. Одним из решений является использование сервера ISA Server 2006, который обладает широким спектром опций безопасности, начиная от HTTPS-Bridging для предварительной аутентификации клиентов и заканчивая доступом только к одному URL.

В этой статье мы расширим безопасность доступа нашего мобильного клиента с помощью клиентских сертификатов на мобильном устройстве. Только мобильный клиент с действительным клиентским сертификатом от нашего внутреннего доверенного центра сертификации может иметь доступ к Exchange Server. Всегда есть возможность расширять безопасность, если ISA будет доверять только сертификатам с издающего сертификаты компонента безопасности. Я расскажу, как это делать, немного позже.

На сайте Exchange

На сервере Exchange Server нужно выполнить лишь несколько шагов. Запустить диспетчера Exchange System Manager и перейти в свойства мобильной службы.

Вы должны включить Direct Push через HTTP(s), чтобы разрешить доступ для клиентов Windows Mobile. Ваше мобильное устройство Windows Mobile должно иметь пятую или более позднюю версию с MSFP (Безопасность службы сообщений и пакет функций (Messaging Security and Feature Pack)).

В качестве необязательного, но рекомендуемого шага вы должны также включить безопасность устройств (Device Security) для повышения уровня безопасности ваших мобильных устройств.

Как включить службу direct?

Рисунок 1: Включение Direct Push по HTTP(s)

Есть несколько опций, которые можно активировать и ввести в действие. Вы должны решить, какие из этих опций будут полезны для вашей организации Exchange и ваших мобильных пользователей.

В качестве рекомендуемой минимальной длины пароля следует принуждать пользователей использовать не менее 8 знаков для паролей, при этом пароли должны содержать буквы и цифры.

Microsoft exchange activesync

Рисунок 2: Параметры безопасности устройств

На мой взгляд, хорошей идеей будет вытеснение устройства после каждого количества x неудачных попыток входа. Вытеснение после восьми попыток будет отличной стартовой точкой.

Для расширенного администрирования мобильных устройств Windows Mobile следует обратить внимание на выходящего вскоре диспетчера Microsoft System Center Mobile Device Manager 2008. С помощью диспетчера Microsoft System Center Mobile Device Manager (SYMDM) вы сможете централизованно управлять всеми частями мобильных устройств Windows Mobile.

На сайте IIS

Поскольку мы хотим защитить трафик между сервером Exchange Server и устройством Windows Mobile, мы должны издать сертификат веб сервера, который будет использоваться для защиты коммуникации. IIS нужен сертификат для стандартного веб сайта. Так как мы используем внутренний центр сертификации Enterprise CA в этой статье, можно запросить сертификат с этого центра сертификации.

Если у вас отсутствует внутренний CA, можно также использовать инструмент, который генерирует самоподписываемые сертификаты (self signed certificates). Одним из примеров такого инструмента является SELFSSL из пакета ресурсов IIS6. Если вы используете самоподписываемый сертификат, его также необходимо импортировать и в хранилище сертификатов доверенного корневого центра сертификации на Exchange и ISA серверах.

Exchange 2007 mobileactivesync

Рисунок 3: SSL сертификат для стандартного IIS веб сайта

Обратите внимание:имя, которое вы используете здесь, также является частью общего имени (Common Name — CN) на сертификате. Следует помнить, что необходимо использовать это имя в правиле публикации ISA в поле ‘to’.

Дилемма

Microsoft Exchange Active Sync требует, чтобы для каждой виртуальной директории Exchange защита SSL не использовалась. Это означает, что если вы не требуете SSL, пользователи смогут получать доступ к OWA с SSL или без него. Это не должно создавать проблем, если вы уверены в том, что ISA Server не разрешает HTTP доступ к веб сайту OWA.

Если вам не нравится такой параметр, можно внедрить SSL на стандартном веб сайте Exchange и использовать Microsoft Exchange Active sync после выполнения определенной работы. Краткая заметка, нужно создать дополнительную виртуальную директорию для Exchange Active Sync. Вам нужно скопировать стандартную /Exchange виртуальную директорию в новую директорию и после этого направить Exchange Active Sync на новую виртуальную директорию. Это делается путем изменения ключа системного реестра.

Isa activesync exchange 2003

Рисунок 4: Не требуйте SSL на виртуальном веб сайте Exchange

Вам также нужно включить использование клиентских сертификатов. Включите опцию Требовать клиентские сертификаты и Включить сопоставление клиентских сертификатов. Нажмите Изменить и OK (вам не нужно здесь ничего менять; вам лишь нужно нажать Изменить и OK, чтобы включить функцию).

Exchange 2007 mobileactivesync

Рисунок 5: Требование клиентских сертификатов

В качестве последнего шага нам нужно включить службу сопоставления директорий Windows в свойствах раздела веб сайта, во вкладке объекта компьютера IIS в диспетчере IIS.

Iis activesync exchange 2003

Рисунок 6: Включение службы сопоставления директорий Windows

Ограниченное делегирование Kerberos (Kerberos constrained delegation)

Так как мы используем клиентские сертификаты, ISA должен брать на себя процесс аутентификации и аутентифицировать пользователя, поэтому мы должны использовать KCD (Kerberos constrained delegation). Это тоже одна из причин, по которой сервер ISA Server должен быть членом домена Active Directory. Откройте оснастку пользователей и компьютеров Active Directory (DSA.MSC), перейдите к объекту ISA Server ‘ Делегирование и включите «доверять» для процесса делегирования для HTTP и W3SVC процесса сервера Exchange Server.

Публикация exchange 2003 для мобильных устройств

Рисунок 7: KCD

Если вы не видите вкладку делегирования, вам нужно включить Расширенный вид в DSA.MSC.

Запрос сертификата для правила публикации ISA

В качестве следующего шага нам нужно выполнить запрос на сервере ISA Server для публичного имени правила публикации. Вы должны запросить сертификат с CN=публичным именем, которое используется в качестве внешнего имени сервера в конфигурации мобильных устройств для EAS.

Exchange activesync что это

Рисунок 8: Запрос сертификата на ISA Server

Если вы не можете открыть веб сайт certsrv на сервере ISA Server, вам нужно создать правило брандмауэра, которое позволит HTTPS с LOCALHOST к серверу CA.

Заключение

В этой статье я попытался показать вам, как использовать Exchange Active Sync с ISA Server 2006 и Exchange Server 2003 SP2 и клиентскими сертификатами. Сочетание ISA Server 2006 и клиентских сертификатов дает вам максимальную безопасность для Exchange Active Sync. Как вы видели, для включения Exchange Active Sync в этой конфигурации требуются определенные шаги. Здесь также есть определенные ловушки в виде неверных сертификатов и неправильно настроенного KCD, но я надеюсь, что эта статья даст вам четкое понимание того, как применять данное решение в вашей среде.

www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]