В Exchange 2013 SP1 появился новый протокол для клиентских подключений к почтовому ящику — MAPI over HTTP (MAPI/HTTP). Данный протокол предназначен для улучшения стабильности и надежности подключения Outlook к серверу Exchange за счет переноса транспорта на уровень HTTP. В этой статье мы расскажем об архитектуре, особенностях работы этого протокола и приведем небольшую инструкцию по его настройке.
В предыдущих версиях Outlook мог взаимодействовать с Exchange по протоколу RPC . В Exchange 2003 появилась еще один протокол подключения — RPC over HTTP (или ). Этот протокол преимущественно использовался для безопасного подключения к Exchange серверу внешних клиентов. В Exchange 2013 Outlook Anywhere по умолчанию используется для взаимодействия как с внешними, так и с внутренними клиентами. По сути, при взаимодействии по этому протоколу MAPI трафик заворачивался сначала в RPC, потом RPC в HTTP и только потом HTTP пакет передавался серверу. Основным недостатком протокола RPC over HTTP является плохая стабильность работы на неустойчивых соединениях (в общедоступных Wi-Fi сетях или через Интернет).
MAPI over HTTP (на самом деле используется HTTPS) исключает из схемы протокол RPC и основан на HTTP 1.1, т.е. клиенты для взаимодействия с сервером используют команду POST. Outlook, подключенный через MAPI over HTTP работает так же, как и EWS, EAS или OWA. При его использовании лучше отрабатывают сценарии переключения между сетями, сбои в сети, выход из спящего режима и режима гибернации и т.д.
Преимущества MAPI over HTTP
Первоначально, MAPI/HTTP на стороне клиента поддерживался только в Outlook 2013 SP1, но сейчас, после установки обновления 2899591 (https://support.microsoft.com/en-us/kb/2899591/en-us ), он будет работать также и в Outlook 2010.
Чтобы включить поддержку MAPI over HTTP , система должна соответствовать требованиям:
После установки Exchange 2013 SP1 на CAS сервере должна появиться виртуальная директория MAPI. Сам протокол MapiOverHTTP при этом отключен.
Проверим, что атрибут ExternalUrl пустой:
Get-MapiVirtualDirectory | ft server, *url*
ExternalUrl, как мы видим, пустой, нам нужно его заполнить (в данном примере мы зададим и ExternalUrl и Internal Url, учтите что сертификат Exchange должен соответствовать адресам, указанным во внешнем и внутренним URL адресах).
Get-MapiVirtualDirectory | Set-MapiVirtualDirectory -InternalUrl https://mail.contoso.com/mapi –ExternalUrl https://mail.contoso.com/mapi -IISAuthenticationMethods NTLM,Negotiate
Осталось активировать MAPI over HTTP на уровне организации Exchange. Убедимся, что протокол отключен:
Get-OrganizationConfig | FL *mapi*
Проверим также, на данный момент Outlook для подключения к Exchange использует протокол RPC/HTTP.
Активируем поддержку протокола MAPI/HTTP со стороны сервера:
Set-OrganizationConfig -MapiHttpEnabled $true
После выполнения команды нужно подождать около часа для применения всех изменений на стороне Exchange. Если нужно, ускорить процесс можно перезапуском MS Exchange Host Service и пула Autodiscover на Mailbox сервере.
При выполнении , Outlook запросит у сервера возможность поддержки MAPI over HTTP (X-MapiHttpCapability ). Если сервер поддерживает этот протокол, то клиент получит ответ с данными НТТР.
При переключении на новый протокол Outlook выдает предупреждение:
После перезапуска Outlook должен подключиться к ящику по протоколу MAPI over HTTP. Об этом будет свидетельствовать строка HTTP в колонке протокола в свойствах подключения Outlook.
Проверить возможность подключения по новому протоколу можно, перейдя на URL https://mail.contoso.com/mapi/emsmdb
. Таким нехитрым способом мы узнаем имя CAS сервера, на котором мы авторизовались и имя Mailbox сервера.
Добавив в URL значение ?Showdebug=yes
можно вывести более интересную информацию. (https://mail.contoso.com/mapi/emsmdb/?showdebug=yes
)
Также проверить работу нового протокола можно с помощью командлета Powershll Test-OutlookConnectivity:
Test-OutlookConnectivity -RunFromServerId serv3 -ProbeIdentity OutlookMapiHttpSelfTestProbe
Траблшутинг :
Логи нового протокола хранятся здесь:
При включении поддержки MAPI over HTTP в группе DAG все сервера должны его поддерживать, в противном случае клиенты не смогут пользоваться своими ящиками.
По оценкам Microsoft использование MAPI over HTTP несколько увеличивает нагрузку на CPU на серверах CAS, но уменьшает расход памяти для каждого пользоватлея на 50-60%.
Новый прокол подключения Outlook к ящикам Exchange выигрывает с точки зрения производительности и сетевой гибкости. По словам разработчикам Microsoft, возможно уже в Exchange Server 2016 протокол MAPI over HTTP станет основным протоколом подключения, а от RPC over HTTP будут постепенно отказываться.
Экономия средств с помощью открытого ПО
Мартин Браун (Martin C. Brown)
Опубликовано 09.02.2011
https://www..jsp?series_title_by=Экономия+средств+с+помощью+открытого+ПО
Следите за выходом новых статей этой серии.
Альтернативные решения с открытым кодом вместо дорогих лицензионных продуктов могут сберечь вам кучу денег. В этой серии статей " Экономия средств с помощью открытого ПО" анализируются три приложения-кандидата из мира открытого ПО: операционная система, пакет офисных приложений и сервер приложений для коллективной работы:
Для оптимальной работы большинству компаний требуется инструмент для электронной почты и совместной работы, который обеспечивает пользователям возможность посылать почтовые сообщения и делиться информацией. Существует много вариантов решений для обслуживания электронной почты, но давайте рассмотрим, какие именно функции действительно нужны большинству компаний.
Существует множество систем электронной почты, в том числе с открытыми исходными кодами. Сообщество сторонников открытого ПО разрабатывает решения на основе открытых протоколов, например, Internet Message Access Protocol (IMAP), Post Office Protocol (POP) и Simple Mail Transfer Protocol (SMTP). Многим из этих протоколов и разработанным решениям с открытым исходным кодом десятки лет, и они широко распространены в организациях, где используются и открытые, и коммерческие решения.
Для многих организаций потребность в почтовом протоколе является только частью проблемы. Им также нужны способы для совместного использования:
Эффективные решения для электронной почты должны включать не только электронную почту, но и все решения для поддержки среды совместной работы.
Несмотря на наличие большого числа открытых протоколов для общения с помощью электронной почты, во многих организациях наиболее широко используется протокол, который реализуется и поддерживается сервером электронной почты Microsoft Windows® Exchange.
Microsoft Exchange поддерживает протоколы IMAP, SMTP и POP. Однако большинство системных администраторов не включают поддержку этих протоколов или даже специально отключают ее, чтобы принудительно использовать протокол Exchange и клиент Microsoft Outlook®.
Существует много причин для использования протокола Exchange. С точки зрения системного администрирования главная причина для использования Microsoft Outlook состоит в возможностях введения ограничений и управления средой Outlook через групповую политику и службу каталогов Active Directory. С точки зрения пользователя служба каталогов обеспечивает единый вход в систему на компьютере, включая задание параметров электронной почты через Outlook прямо из профиля пользователя. Можно войти в систему с любого компьютера в организации и автоматически получить доступ к своей электронной почте.
Недостатком этого подхода является то, что выбор клиентов электронной почты с поддержкой протокола Exchange довольно ограничен даже на Windows и уж тем более на остальных платформах.
Протокол Exchange является закрытым. Клиенты выполняют вызовы к интерфейсу Messaging Application Programming Interface (MAPI), который, в свою очередь, использует протокол Remote Procedure Protocol (RPC) для связи с серверами. Есть два уровня основного протокола:
Служба расширенного MAPI обеспечивает полное управление информацией на удаленном сервере и включает средства для манипулирования сложной информацией и структурами. Этот расширенный протокол предоставляет расширенные функции, характерные для сред совместной работы, например, способность создавать и использовать адресные книги, записи в календарях, записки и другую информацию. Одним словом, это полный набор инструментов и функций для совместной работы, необходимых организациям.
Однако и Microsoft Windows, и Exchange используют модель лицензирования по количеству рабочих мест или одновременных подключений. Это может сделать решение, основанное на использовании Exchange, весьма дорогостоящим вариантом, пусть даже и обеспечивающим все необходимые функции.
Как и в случае с OpenOffice, когда дело касается альтернатив с открытым исходным кодом, ключевым требованием является совместимость. Требуется ли совместимость на клиентском уровне с существующим сервером Exchange или совместимость на уровне сервера, чтобы можно было использовать существующие клиенты Outlook для подключения к альтернативному серверу, нужно тщательно проанализировать все требования к совместимости.
Неудивительно, что в большинстве систем, использующих Exchange, предполагается, что клиент, получающий доступ к этой службе, будет использовать Microsoft Outlook - компонент Microsoft Office для работы с электронной почтой и ведения личной информации.
Для любого открытого решения для использования Exchange двумя ключевыми элементами являются реализация интерфейса MAPI для осуществления вызовов и протокола MAPI/RPC для обмена информацией с сервером.
Существует несколько подобных решений, в том числе проект OpenMapi и проект libmapi. Проект libmapi является частью более крупного проекта OpenChange, который представляет собой попытку обеспечить совместимость на уровне клиента и на уровне сервера для связи и работы с протоколом Microsoft Exchange.
Проект Evolution является частью проекта Gnome, в рамках которого создана среда рабочего стола Gnome (которая является стандартной частью многих сред Linux® и UNIX® для настольных ПК). Разработчики Gnome создали API и среду, которая дает возможность создавать окна, значки и другие компоненты в дополнение ко многим служебным API.
Evolution дополняет среду Gnome функциями электронной почты, адресной книги и календаря типичной персональной информационной системы (PIM). Внутренний интерфейс клиента Evolution включает поддержку нескольких соединителей, которые обеспечивают взаимодействие между основными почтовыми функциями и серверами, с которыми они связаны. Среди них есть компонент MAPI, который дает возможность Evolution осуществлять связь с почтовым сервером Exchange для отправки и получения электронной почты, а также для работы с адресной книгой и другими функциями.
Другой клиент электронной почты, проект KDE Akonadi, также использует библиотеки OpenChange MAPI для предоставления функций Exchange. KDE - еще один распространенный вариант пользовательского интерфейса рабочего стола в Linux. Akonadi предоставляет функции, аналогичные функциям Evolution, а также способность связываться с другими компонентами в KDE, например, офисным пакетом KDE Office.
Использование библиотеки не вызывает трудностей, но существует ряд проблем совместимости. Согласно Брэду Хардсу (Brad Hards), разработчику, работающему в проектах KDE и OpenChange, главные трудности связаны с календарем, адресной книгой и задачами. Базовая часть протокола, предназначенная для отправки, получения и управления электронной почтой, работает отлично. Большинство пользователей вообще не заметили бы, что они связываются с сервером Exchange, а не с продуктом с открытым исходным кодом, как, например, Cyrus, который поддерживает протокол IMAP.
Что еще важнее для такого проекта, сервер Exchange совершенно не замечает, что он общается с альтернативным Exchange-клиентом. Пользователи на не-Windows платформах могут подключаться к серверу Exchange и полностью использовать его функции. При этом у администратора не возникает необходимости включать IMAP и другие протоколы, а пользователям обеспечивается полное управление и использование функций Exchange. С точки зрения совместимости это очень важно. Пользователи Linux, которые должны или хотят работать в среде Windows, могут пользоваться всеми возможностями электронной почты, адресной книги и календаря.
Проект OpenChange использует программы и библиотеки, первоначально разработанные в рамках проекта Samba. Samba является реализацией протокола Server Message Block (SMB), а в последнее время Common Internet File System (CIFS), который используется в Windows для совместного использования файлов, каталогов и принтеров.
Samba — это еще один прочно устоявшийся проект, который работает на системах UNIX/Linux с начала 1990-х годов. Текущий стабильный выпуск Samba V3.x совместим со службой каталогов Active Directory, используемой в Windows для совместного использования ресурсов и поддержки пользовательских профилей и авторизации.
В проекте OpenChange планируется использовать функции версии Samba V4.0, которая будет представлять собой переработку кода Samba V3.0. Она обеспечит Samba функции для работы в качестве сервера и клиента Active Directory в добавление к поддержке SMB, CIFS и совместного использования принтеров.
Компонент Samba является ключом к успеху серверного компонента OpenChange. Текущий процесс разработки начат в январе 2006 года. На момент написания статьи в рамках проекта еще не было выпущено каких-либо версий, что накладывает ограничение на развертывание OpenChange в качестве сервера.
Вторая часть проекта OpenChange состоит в предоставлении прозрачной замены Microsoft Exchange Server. Команда OpenChange намерена использовать опыт в разработке протокола, полученный в проекте клиента libmapi, для обеспечения совместимости на уровне протокола. Серверное решение работает в роли сервера в сочетании с основным сервером Samba SMBD, реализуя основные функции.
Отправной точкой для сервера OpenChange является еще один проект, названный MAPIProxy. MAPIProxy разработан как типичный прокси-процесс, передающий сообщения от совместимого с MAPI клиента в сервер Exchange и обратно. Первоначально он был создан как инструмент наблюдения и отладки обмена через протокол MAPI между клиентом и серверами. Но раз у нас есть прокси, способный работать с протоколом MAPI и перехватывать обмен информацией, его легко использовать для предоставления услуг связи клиентов через протокол MAPI/RPC.
Планируется, что в конечном счете сервер OpenChange будет предоставлять те же функции, что и сервер Exchange — вся работа с почтой, адресной книгой и другими компонентами — и хранить данные локально в отдельном файловом хранилище.
Проект разработки сервера OpenChange в перспективе может обеспечить поддержку двум типам пользователей Exchange:
Существующие решения обычно основаны на совместной работе различных и часто разнородных компонент. Результат проекта должен удовлетворить реальную потребность, наличествующую в сегменте открытого ПО, и обеспечить совместимость для связи и взаимодействия с существующими пользователями Windows.
С точки зрения администратора настройка и использование сервера и клиентов OpenChange менее удобны, чем аналогичные действия в среде Windows с использованием групповой политики.
Профили, пользователи и другая информация, хранящаяся под Windows в службе каталогов Active Directory, будут, очевидно, поддерживаться Active Directory на базе Samba 4.
С точки зрения клиента переход на применение протокола Exchange с таким клиентом электронной почты, как Evolution или Akonadi, является простой задачей. Это несложный процесс; для большого числа установленных систем миграция должна быть относительно проста. Некоторые компании уже используют Evolution в качестве решения, позволяющего пользователям Linux взаимодействовать и связываться с другими пользователями Exchange.
Интерфейс, стабильность и функциональность серверной части OpenChange пока не дотягивают до уровня клиентской среды. Поскольку проект все еще находится в стадии разработки, следует учитывать его зрелость и доступность в сравнении с другими имеющимися решениями. В целом проект выглядит многообещающим как решение для поддержки клиентов Outlook и других клиентов Exchange, а также как универсальное решение для управления и обработки электронной почты и поддержки совместной работы без необходимости раздельно настраивать различные компоненты.
Когда-нибудь разработка сервера OpenChange и проекта Samba, на который он опирается, будут завершены, но рекомендовать проект в его нынешнем состоянии затруднительно.
22.04.2013 Поль Робишо
Даже самые непримиримые конкуренты Microsoft, включая Google и IBM, использовали EAS в качестве основы для доступа мобильных устройств к их серверным системам электронной почты. Еще рано возвещать скорую кончину программного интерфейса Messaging API (MAPI), однако мы вполне можем представить себе, что EAS станет основным протоколом для синхронизации с Exchange
Еще совсем недавно единственным способом получения доступа к электронной почте с мобильных устройств было применение протоколов IMAP или POP (или устройств BlackBerry компании Research in Motion, однако мне хочется сделать вид, будто их вообще не существует, так как очень скоро именно так и будет). Использование этих протоколов считалось неудачным решением. Ни один из них не предназначен для работы на мобильных устройствах, так как оба протокола применяют технологию опросов при наличии постоянного подключения. Специалисты Microsoft изучили вопрос и решили бороться с этой проблемой путем разработки протокола и серверного приложения, предоставляющих прямой, интегрированный в мобильные устройства доступ к Exchange Server. Данный продукт, Mobile Information Server, был со временем встроен в Exchange, а соответствующий протокол, Exchange ActiveSync (EAS), на сегодня является лидером для мобильной почты и управления календарями. Даже самые непримиримые конкуренты Microsoft, включая Google и IBM, использовали EAS в качестве основы для доступа мобильных устройств к их серверным системам электронной почты. EAS оказывает влияние и на настольные системы: сейчас этот протокол поддерживают и встроенное почтовое приложение Windows 8, и Microsoft Outlook 2013. Еще рано возвещать скорую кончину программного интерфейса Messaging API (MAPI), однако мы вполне можем представить себе, что EAS станет основным протоколом для синхронизации с Exchange.
Сам по себе протокол EAS - это часть набора технологий для мобильного доступа к Exchange. Нас же сейчас интересуют только четыре момента.
Администраторов Exchange больше всего интересует серверный компонент. Именно отсюда мы управляем тем, какие устройства и пользователи могут задействовать EAS и что они могут делать при подключении. Корпорация Microsoft контролирует данный протокол, поэтому мы не можем получить уровень управления сверх заложенного в протоколе; управление мобильными клиентами - отдельная тема, которой я не хочу касаться в этой статье.
По умолчанию пользователи Exchange 2010 имеют доступ к EAS. Не нужны никакие особые настройки, чтобы разрешить пользователям синхронизировать их устройства. Быть может, вам требуется именно это. Есть два противоположных взгляда на предоставление доступа к EAS. Некоторые администраторы предпочитают предоставлять доступ всем, за исключением небольшой части пользователей (например, стажеров и временных сотрудников, которым не нужен доступ к EAS). Другие отключают доступ для всех, а затем предоставляют его только избранным пользователям. Оба подхода легко реализуемы, с небольшими различиями для каждого из них.
Существует три варианта управления доступом пользователей к EAS. Во-первых, вы можете разрешить или отключить EAS на отдельных серверах клиентского доступа. Это самый жесткий способ отключения: сервер клиентского доступа с отключенным EAS вообще не принимает EAS-подключений, даже от пользователей, которым это разрешено. Работа EAS зависит от настроек соответствующего виртуального каталога службы Microsoft IIS на сервере клиентского доступа. Чтобы отключить EAS, откройте диспетчер IIS на сервере клиентского доступа, щелкните правой кнопкой мыши на объекте MSExchangeSyncAppPool и выполните команду Stop. Для включения EAS также щелкните правой кнопкой мыши на остановленном пуле и выполните команду Start.
Во-вторых, вы можете включить или отключить EAS для конкретных пользователей командой Set-CASMailbox. Это делается с помощью параметра ActiveSyncEnabled. Например, для разрешения доступа к EAS всем пользователям организационного подразделения Sales (при условии, что вы его отключили для всех остальных) можно выполнить команду вида:
Get-Mailbox -OrganizationalUnit Sales | Set-CASMailbox -ActiveSyncEnabled:$true
Для запрещения EAS-доступа одному или нескольким пользователям просто направьте список нужных почтовых ящиков на вход команде Set-CASMailbox с параметром -ActiveSyncEnabled:$false. Вы можете комбинировать Set-CASMailbox с соответствующими командами оболочки Exchange Management Shell (EMS). Также можно использовать консоль Exchange Management Console (EMC): откройте свойства нужного почтового ящика и внесите изменения на закладке Mailbox Features.
Третий способ управления доступом пользователей к EAS заключается в создании и применении политики EAS. Это самый рациональный вариант, так как механизм политик EAS предоставляет наиболее развитый способ управления устройствами.
Политики EAS применяются к пользователям; каждому пользователю может быть назначена одна политика EAS (или ни одной). Если вы явно не назначаете пользователю политику, к нему применяется политика по умолчанию. Статья Microsoft «Understanding Exchange ActiveSync Mailbox Policies» (http://technet.microsoft.com/en-us/library/bb123484.aspx) описывает действие этой политики: всем устройствам без ограничений разрешено синхронизироваться, не применяется политика паролей, на устройствах можно выполнять удаленную очистку данных.
А теперь самое время напомнить, что функция удаленной очистки, встроенная в EAS, в первую очередь зависит от устройства, получающего обновление политики. В процессе начальной синхронизации нового устройства (то есть устройства, которое до этого ни разу не синхронизировалось с сервером) данное устройство и сервер обмениваются информацией, называемой ключом политики. Можно считать ключ политики аналогом GUID или MAC-адреса; это уникальный ключ, идентифицирующий политику. Если ключи устройства и сервера не совпадают, устройству необходимо запросить самую свежую политику и применить ее. Процесс применения политики к устройству называется инициализацией. На большинстве устройств пользователь увидит диалоговую панель с информацией о том, что сервер применяет политику, с запросом на подтверждение. Если пользователь отклоняет политику, сервер может разрешить или запретить устройству выполнение синхронизации; реальное поведение зависит о того, разрешает ли политика сервера по умолчанию синхронизацию неинициализируемых устройств.
Можно определить несколько политик EAS; переключение пользователя на другую политику выполнить достаточно просто. Параметр –ActiveSyncMailboxPolicy команды Set-CASMailbox определяет, какая политика применяется к данному почтовому ящику. Политику можно назначить, указав ее в качестве аргумента для данного параметра. Проще всего это можно сделать с помощью вызова команды Get-ActiveSyncMailboxPolicy с именем требуемой политики, как показано в следующем примере:
Set-CASMailbox id [email protected] -ActiveSyncMailboxPolicy (Get-ActiveSyncMailboxPolicy «Sales»).Identity
Вы можете удалить существующую политику, указав $null в качестве значения параметра ActiveSyncMailboxPolicy. Это действие приведет к получению пользователем политики по умолчанию. И не существует какого-либо способа вообще не применять к пользователю никакой политики.
На стороне Exchange политики EAS достаточно просты. Только следует помнить, что не каждое устройство поддерживает любой из возможных параметров политики и что устройства не всегда сообщают достоверную информацию о том, какие именно настройки политик они поддерживают. В неофициальной статье Википедии (http://en.wikipedia.org/wiki/Comparison_of_Exchange_ActiveSync_clients) описано текущее состояние поддержки политик со стороны клиентов для различных устройств. Существует три способа работы с объектом политики EAS.
В консоли EMC политики создаются и редактируются на закладке Exchange ActiveSync Mailbox Policies, находящейся в узле Client Access раздела организации.
В Exchange Control Panel (ECP) можно создавать, удалять и модифицировать политики EAS, используя ссылку ActiveSync Device Policy на закладке Phone & Voice раздела организации.
В EMS можно использовать команды семейства *-ActiveSyncMailboxPolicy для создания и удаления объектов политик EAS (New-ActiveSyncMailboxPolicy и Remove-ActiveSyncMailboxPolicy), а также для просмотра и изменения параметров существующих политик (Get-ActiveSyncMailboxPolicy и Set-ActiveSyncMailboxPolicy).
Есть небольшие различия в терминах, используемых в перечисленных трех подходах, к тому же в ECP представлены не все настраиваемые параметры. Для простоты я буду рассматривать интерфейс EAS так, как он выглядит в EMC.
Посмотрим на основные категории доступных нам параметров политик, пройдя по закладкам диалоговой панели Properties в консоли EMC.
Закладка General. На закладке General (см. экран 1) имеется три интересующих нас элемента управления:
Закладка Password. Следующая (и, возможно, наиболее важная) группа параметров расположена на закладке Password (экран 2). Она управляет паролями устройств, в том числе требованием необходимости пароля. Большинство организаций, разрешающих мобильный доступ, требуют использования паролей.
Хотя применение пароля может показаться неудобным, это очень полезное средство защиты и дополнительная преграда. На этой закладке имеются следующие параметры.
Require password («Требовать ввода пароля»). Когда отмечен флажок Require password, политика EAS требует от устройства запрашивать пароль. Если этот флажок не установлен, остальные параметры данного раздела неактивны. Если вы его отметите, но не измените какие-либо другие параметры, политика будет требовать использования простого PIN-кода из 4 цифр.
Require alphanumeric password («Требовать ввода алфавитно-цифрового пароля»). Если вы не намерены использовать чисто цифровые пароли, то параметр Require alphanumeric password заставит пользователей помимо цифр включать в пароли буквы и другие символы. Главный недостаток этого метода в том, что экранную клавиатуру, отображаемую на экране при вводе пароля, легче всего использовать, когда пароль содержит только цифры. Требование использования алфавитно-цифровых символов означает, что на экране должна выводиться полная алфавитно-цифровая клавиатура, что несколько усложняет ввод пароля.
Minimum number of character sets («Минимальное число наборов символов»). Параметру Minimum number of character лучше было бы дать название «сложность пароля», так как он определяет, насколько сложным должен быть пароль. Наборы символов включают строчные и прописные буквы, символы и цифры. Если этому параметру присвоить значение 2, то пользователю придется включать в пароль символы как минимум из двух перечисленных наборов. Значение по умолчанию 1 позволяет задавать пароль из одних цифр.
Enable password recovery («Включить восстановление пароля») - Если установлен флажок Enable password recovery, пользователи смогут задействовать Outlook Web App (OWA) для извлечения хранящегося в устройстве пароля восстановления, а затем вводить этот пароль для разблокирования мобильного телефона. Администраторы Exchange для извлечения паролей восстановления могут использовать консоль EMC. Windows Phone, Apple iOS и большинство клиентов Android не поддерживают данный параметр. Хотя это весьма полезная возможность.
Require encryption on device («Требовать шифрования на устройстве») и Require encryption on storage card («Требовать шифрования на картах памяти»). Эти два параметра управляют применением встроенного шифрования для защиты хранящихся на устройстве данных. В этом разделе довольно часто клиентское программное обеспечение - в частности, компании Apple - работало с ошибками, однако сейчас, похоже, все основные производители клиентских устройств корректно обрабатывают данный параметр.
Allow simple password («Разрешить простой пароль»). Отмеченный флажок Allow simple password разрешает использовать в качестве пароля PIN-код из четырех цифр.
Number of failed attempts allowed («Очистить устройство после неудачных попыток»). В домене Active Directory (AD) предусмотрена возможность блокировки учетной записи после определенного количества ошибок при регистрации в системе. В EAS имеется возможность принудительной очистки устройства после совершения заданного количества ошибок ввода пароля.
Minimum password length («Минимальная длина пароля»). Как видно из названия, параметр Minimum password length позволяет установить минимальную длину пароля от 4 до 18 символов.
Time without user input before password must be re-entered (in minutes) («Время простоя (в минутах)»). Параметр Time without user input before password must be re-entered (in minutes) задает период бездействия мобильного телефона, после которого пользователь должен ввести пароль для его разблокирования. На большинстве клиентов выбирается минимальное значение параметра. То есть если вы в политике устанавливаете значение 10 минут, а пользователь в самом телефоне - 5 минут, то будет использоваться меньший из этих двух интервалов.
Password expiration (days) («Срок действия пароля (дни)»). Параметр Password expiration (days) задает период действия назначенного пользователем пароля, по истечении которого пароль должен быть сменен. Это коварный параметр. Пользователи очень не любят принудительную смену PIN-кода, поэтому включение этого параметра, скорее всего, вызовет определенное недовольство, потому что пользователи менее склонны записывать свои PIN-коды, как это часто делается со сложными паролями в AD.
Enforce password history («Принудительно установить журнал паролей»). Вы можете установить параметр Enforce password history для запрета повторного применения старых паролей. Однако, поскольку не предусмотрено способа назначения срока действия паролей на устройстве так же, как это делается с паролями AD, данная функция не особенно полезна.
Закладка Sync Settings. Элементы управления на закладке Sync Settings (экран 3) определяют, что разрешено делать устройству при выполнении синхронизации. Вы можете ограничить количество дней календаря или сообщений электронной почты, которые могут быть синхронизированы на устройстве, хотя у большинства клиентов есть и более удобные параметры для настройки того, сколько почтовых сообщений синхронизировать и из каких папок. Два наиболее интересных параметра на этой закладке - флажок Allow Direct Push when roaming («Разрешить Direct Push в роуминге»), который определяет, можно ли находящемуся в роуминге устройству использовать Direct Push, и флажок Allow attachments to be downloaded to device («Разрешить загрузку вложений на устройство»), который позволяет защитить пользователей от загрузки потенциально опасных вложений.
Закладка Device. Аппаратные средства мобильных телефонов за последние несколько лет изменились очень сильно. Даже устройства низшего класса часто имеют камеру с высоким разрешением, аудиопотоки через Bluetooth и другие функции, которые когда-то присутствовали только в устройствах высокого класса. Не в каждой организации сотрудникам разрешается пользоваться всеми этими возможностями. Некоторые заказчики, такие как департаменты федерального правительства США, решают проблему покупкой устройств, не имеющих нежелательных функций; и в самом деле можно купить современные смартфоны без встроенной камеры. Однако чаще всего организации либо требуют от пользователей не делать определенные вещи (например, не вносить сотовые телефоны в лаборатории), либо используют технические средства для блокировки этих функций.
Параметры на закладке Device (экран 4) относятся именно к этой категории. EAS предоставляет возможность задать политику, которая блокирует определенные функции устройства, но только в том случае, если устройство поддерживает эти параметры политики. Многие устройства их не поддерживают, либо потому, что данный параметр политики не имеет смысла (например, включение параметра Allow infrared на устройствах iOS, которые не имеют инфракрасных портов), либо потому, что производитель EAS-клиента не потрудился реализовать поддержку данного параметра. Если эти элементы управления являются важной частью вашей стратегии безопасности мобильных устройств, не забудьте удостовериться, что ваши устройства действительно поддерживают все необходимые вам политики.
Закладки Device Applications и Other. Две последние закладки, Applications и Other, являются по сути рудиментами. Корпорация Microsoft добавила их, чтобы заложить основу для политик, которые могли бы контролировать запуск приложений на управляемых мобильных устройствах. Однако ни один из клиентов не поддерживает эту функцию EAS. Компании, заинтересованные в активном управлении приложениями, разрешенными для запуска пользователями, покупают специализированные решения для управления мобильными устройствами, поэтому реальной потребности в полной реализации этой функции нет.
Возможность удаленной очистки потерянного или украденного устройства очень важна для обеспечения безопасности, если вы не возражаете против полной очистки устройства, а не только данных, принадлежащих организации. Есть два основных способа инициировать удаленную очистку: пользователем с помощью ECP или администратором в EMC. В обоих случаях процесс очистки требует, чтобы устройство получило необходимую команду, то есть очистка не будет выполнена до тех пор, пока устройство не будет включено и не предпримет попытку синхронизации с сервером. Поэтому разряженное устройство не выполнит команду очистки, пока не будет заряжено. Также подразумевается, что устройство не должно предоставлять пользователю возможность отказаться от операции очистки. Надо помнить, что Exchange может показать вам, когда была запрошена очистка, но подтверждение выполнения команды очистки будет показано только после его получения от устройства.
Поскольку специалисты Microsoft включили поддержку EAS во встроенный почтовый клиент Windows 8 и в Outlook 2013 и по причине большой базы установок EAS, мы можем быть уверены в долгой жизни этой технологии. Интересно посмотреть, как команда разработчиков OWA позиционировала OWA в Exchange 2013; этот компонент работает на планшетах и мобильных устройствах лучше, чем предыдущие версии, и поддерживает автономную работу. Существование мощного мобильного клиента от Microsoft будет стимулировать Apple, различных производителей Android и даже группу разработчиков Windows Phone активизировать свою работу и добавить еще больше функциональности к тому, что уже реализовано в протоколе EAS. Есть основания полагать, что в Windows Phone 8 будет усовершенствована поддержка EAS, хотя Microsoft еще не сообщала никаких подробностей. Возможно также, что мы увидим некоторые изменения в самом протоколе EAS, например возможность доступа с EAS-устройств к личным архивам Exchange. И независимо от того, какие изменения внесет Microsoft в базовый протокол, близкое знакомство с методами администрирования устройств EAS является важной частью обслуживания организации Exchange.
Подключение Microsoft Exchange Server к Интернету осуществляется легко и быстро. Microsoft Exchange Server 4.0 поддерживает протокол SMTP при помощи коннектора Internet Mail Connector, а Microsoft Exchange Server 5.0 имеет самостоятельную встроенную поддержку SMTP, POP3, HTTP и NNTP. В данной статье описываются минимальные действия, которые необходимо выполнить для того, чтобы сконфигурировать поддержку этих протоколов.
Убедитесь в том, что Microsoft Exchange Server, который вы хотите подключить к Интернету, полноценно функционирует. Клиенты Exchange с почтовыми ящиками на этом сервере должны быть в состоянии передавать сообщения друг другу. Также проверьте, установлен ли на сервере протокол TCP/IP.
Если ваша организация еще не имеет доступа в Интернет, свяжитесь с поставщиком услуг Интернета. Закажите постоянное соединение с Интернетом, при этом потребуйте, чтобы провайдер взял на себя вашу службу имен доменов - DNS. Если постоянное соединение представляется нерентабельным, можно использоваться сеансовое подключение. После того как провайдер выделит вам адрес, может потребоваться изменение IP-адресов в вашей локальной сети.
Убедитесь в том, что связь с провайдером установлена, и проверьте, имеется ли соединение с Интернетом, запросив какой-нибудь известный вам сервер, например, сервер Microsoft по адресу 131.107.1.240. В случае успеха, на экране появится следующее:
C:\users\default>ping 131.107.1.240
Pinging 131.107.1.240 with 32 bytes
of data:
Reply from 131.107.1.240: bytes=32 time=341ms TTL=115
Reply
from 131.107.1.240: bytes=32 time=280ms TTL=115
Reply from 131.107.1.240:
bytes=32 time=281ms TTL=115
Reply from 131.107.1.240: bytes=32 time=280ms
TTL=115
Если на экране появилось сообщение типа «Destination Host Unreachable» или «Request Timed Out», то придется устранить неисправности в конфигурации TCP/IP. Проверьте правильность установки протокола, конфигурацию маршрутизатора либо конфигурацию RAS-службы. Если конфигурацией маршрутизатора изначально занимался ваш провайдер, позвоните в их службу технической поддержки. Если ping-тестирование хост-узла по IP-адресу прошло успешно, попытайтесь теперь проверить отзовется ли сервер на имя, например, dns1.microsoft.com. В случае успеха вы увидите на экране следующее:
C:\users\default>ping
dns1.microsoft.com
Pinging dns1.microsoft.com with 32
bytes of data:
Reply from 131.107.1.240: bytes=32 time=300ms TTL=115
Reply from 131.107.1.240: bytes=32 time=281ms TTL=115
Reply from
131.107.1.240: bytes=32 time=280ms TTL=115
Reply from 131.107.1.240:
bytes=32 time=881ms TTL=115
Если появилось сообщение типа «Bad IP address», то перед тем, как вы сможете продолжить работу, необходимо окончательно устранить неисправности в конфигурации TCP/IP.
Убедившись в том, что протокол TCP/IP установлен правильно, можно приступить к настройке Microsoft Exchange Server для отправки исходящих сообщений. Выясните IP-адрес и TCP/IP-имя хоста Microsoft Exchange Server. Допустим, имя вашего почтового сервера -mail.company.ru, с адресом 206.247.73.110. Попробуйте запросить этот сервер по IP-адресу. Если это вам не удастся, это значит, что вы неверно определили IP-адрес сервера - проверьте свойства TCP/IP в окне свойств сети.
Запросите свой Microsoft Exchange Server по имени. Это очень важно - все протоколы Интернета требуют, чтобы машины-клиенты и другие сервера в Интернете могли найти вашу систему по имени. Если это не получится, свяжитесь с теми, кто занимается вашей DNS-службой, и попросите добавить в DNS запись в строку Адрес («A») для вашего сервера (mail.company.ru).
Вы должны дать указание другим серверам почты в Интернете о том, чтобы они направляли адресованные вам сообщения на ваш Microsoft Exchange Server. Допустим, вы хотите принимать почту на адрес [email protected]. Для этого администратор DNS должен присвоить для вашему домену (company.ru) атрибут Mail Exchanger («MX»), если это еще не сделано.
Проверьте запись о статусе MX при помощи NSLOOKUP, утилиты, которая имеется в Windows NT 4.0. В командной строке запустите NSLOOKUP и дайте команду «set type=MX». Теперь введите имя домена электронной почты вашей компании, типа «company.ru». В случае успеха вы увидите на экране имя хоста вашего Microsoft Exchange Server, mail.company.ru. Например:
C:> NSLOOKUP
Default server:
sec1.dns.psi.net
Address: 39.8.92.2
>set type=mx
>company.com
Server: sec1.dns.psi.net
Address: 38.9.92.2
Non-authoritative answer:
Company.com MX preference = 10, mail
exchanger=mail.company.com
По умолчанию сервер должен выдать имя и IP-адрес DNS-сервера, который указан в вашей конфигурации TCP/IP (см. пункты 5 и 6 выше). В зависимости от того, является ли DNS-сервер, на который вы указываете, основным DNS-сервером для вашей компании, вы получите ответ со статусом «authoritative» либо «non-authoritative» - это непринципиально. Если в ответ вы получите сообщение, в котором говорится, что MX-сервис для вашей компании (company.ru) обеспечивает ваш Microsoft Exchange Server (mail.company.ru), то все в порядке. Если на экране появится строка, не похожая на приведенную выше, это значит, что вы не сможете получать входящие сообщения, и DNS-администратор должен устранить эту проблему. Если все работает, то протокол TCP/IP установлен правильно, и его настройки позволят получать входящие сообщения в Microsoft Exchange Server.
В Microsoft Exchange Server 5.0 поддержка протокола SMTP устанавливается по умолчанию при инсталляции сервера, и в первый раз вы конфигурируете протокол при помощи мастера установки для Internet Mail Service (рис. 1), который запускается командой меню File|New Other. Если у вас установлен Microsoft Exchange Server 4.0, вы должны запустить программу установки Microsoft Exchange Server и выбрать «Internet Mail Connector». И в том, и в другом случае Internet Mail Connector (в Microsoft Exchange Server 4.0) или Internet Mail Service (в Microsoft Exchange Server 5.0) устанавливаются как объект в контейнере Connections для данного узла.
Если вы используете Microsoft Exchange Server 5.0 и запускаете мастер для Internet Mail Service, чтобы сконфигурировать эту службу, ответьте на все вопросы так, как это предлагается по умолчанию. Таким образом вы получите минимальную рабочую конфигурацию Internet Mail Service. Когда вы закончите, программа-мастер сконфигурирует поддержку SMTP и запустит службу Internet Mail в Microsoft Exchange Server.
Мастера установки Internet Mail
Если вы подсоединяетесь к Интернету путем дозвона, то в окне выбора сервера Microsoft Exchange установите флажок Allow Internet mail through a dial up connection («Работа с почтой Интернета осуществляется путем дозвона»). Далее вам придется указать телефонный номер RAS для своего провайдера.
Если вы используете Microsoft Exchange Server 4.0, вам необходимо установить, как минимум, Service Pack 2 или более новую версию. Запустите программу установки и выберите Internet Mail Connector. После того, как процесс установки будет завершен, загрузите программу Microsoft Exchange Server Administrator и загрузите объект Internet Mail Connector в контейнере Connections для вашего узла. Здесь вам надо будет сделать всего две вещи. Во-первых, В окне General укажите, кто является администратором коннектора - выберите администратора или любого пользователя из общего адресного списка. Затем в окне Address Space щелкните на кнопку New Internet, а затем - кнопку OK, чтобы следующее диалоговое окно закрылось. В окне Addresses вы увидите, что SMTP имеет значение 1. Чтобы закрыть это окно, щелкните OK в информационном окне о DNS и закройте программу Administrator. Настройте службы Internet Mail на автоматический запуск и запустите ее (Панель управления, Services).
Если вы подключаетесь к провайдеру путем дозвона, откройте закладку Dial-up connection в окне свойств Internet Mail Connector и запустите процесс дозвона и передачи почты. В графе Available Connections выберите телефонный номер RAS своего Интернет-провайдера. Можно задать автоматический набор номера провайдера раз в несколько часов или в определенный момент времени. Когда IMC воспользуется RAS для дозвона провайдеру, он установит соединение с SMTP-хостом и подождет, пока загрузится почта. Обычно это происходит сразу после того, как SMTP-хост распознает присутствие Exchange-сервера, но иногда на это может уйти до 15 минут. Если вы хотите, чтобы загрузка почты начиналась немедленно, нужно задать соответствующую команду в опциях Retrieving Mail. Точный формат этой команды зависит от вашего провайдера. Как правило, можно использовать команду типа Finger или Rsh.
Синтаксис команды Finger:
Finger your_domain@isp_smtp_host,
Your_domain - имя вашего домена (например, company.ru), isp_smtp_host - имя SMTP-хоста вашего провайдера (например, mx4.smtp.psi.net).
Синтаксис команды Rsh:
Rsh -Iisp_domain –l logon “/user/lib/sendmail –q –Ryour_domain”,
Isp_domain - это имя домена вашего провайдера (например, psi.net), logon - алиас для входа в систему, который имеет полномочия создавать набор настроек на сервере провайдера, а остальное - команда, порождаемая удаленным набором настроек. Хороший источник документации по этой и другим командам - . Выясните у своего провайдера, какой именно командный синтаксис вы должны использовать при установке.
Теперь нужно проверить конфигурацию Microsoft Exchange Server. Самый простой способ – отправить кому-нибудь в Интернете письмо от одного из пользователей и попросить на него ответить. Однако этот метод не дает никакой информации в случае неудачи. Самый эффективный способ - сначала провести тестирование при помощи Telnet. Запустите программу Telnet, дайте команду File|New и введите имя хоста вашего Exchange-сервера (например, mail.company.ru), а в качестве TCP/IP-порта укажите 25. Щелкнув Connect, вы должны подключитесь к Microsoft Exchange Server и увидите в верхней части окна Telnet экрана строку примерно следующего содержания:
220 mail.company.com Microsoft Exchange Internet Mail Service 5.0.1457.7 ready
Ответ, начинающийся с 220, означает, что сервер поддерживает какую-либо службу SMTP (в данном случае это Microsoft Exchange Server Internet Mail) и ждет приема почты. Если вы не получили подобного ответа, еще раз проверьте настройку службы Internet Mail, и запущена ли она.
Microsoft Exchange Server 5.0 поддерживает протокол POP3. Это значит, что вы можете использовать любую клиентскую программу POP3, для того чтобы считывать почту с сервера, такую как Microsoft Internet Mail, Windows Messaging или Microsoft Outlook 97 с установленной службой Internet Mail. Чтобы сконфигурировать сервер соответствующим образом, выполните следующую последовательность действий:
Запустите программу Microsoft Exchange Server Administrator, откройте контейнер Protocols для своего узла и два раза щелкните объект-протоколе POP3. Установите флажок Enable protocol (рис. 2). Перейдите к закладке Authentication и убедитесь в том, что помечены все четыре опции. Закройте окно свойств POP3.
Настройка протокола POP3
Теперь откройте
окно Internet Mail Service и выберите закладку Routing («Маршрутизация»). Для
того чтобы пользователи, имеющие доступ к почте через протокол POP3, могли
отправлять сообщения пользователям Интернета, Должно быть установите Reroute
Incoming SMTP Mail, а в окне маршрутизации в качестве адреса для входящей
почты
Чтобы проверить, как работает поддержка POP3, конечно же, надо воспользоваться клиентом POP3. Можно провести тестирование вручную - воспользуйтесь Telnet, введите имя вашего сервера Microsoft Exchange Server и укажите порт TCP/IP - 110. Появится строка примерно следующего содержания:
OK Microsoft Exchange POP3 server version 5.0.1457.10 ready
Если вы видите это на своем экране, это значит, что Microsoft Exchange Server готов к приему информации по порту 110 и ждет команды POP3 для скачивания почты. Обратите внимание, что клиенты POP3 используют для отправки сообщений SMTP, в связи с чем закладка Routing («Маршрутизация») для почты POP3 является частью объекта Internet Mail Service. Для завершения сеанса Telnet наберите Quit.
Microsoft Exchange Server 5.0 имеет встроенную поддержку протокола HTTP и позволяет пользователям программ просмотра Web-страниц читать и отправлять почту. Это особенно удобно, если вам необходимо прочитать свою почту с компьютера, на который вы не можете установить клиентскую программу для электронной почты. Для поддержки HTTP необходимо установить Internet Information Server 3.0 (IIS) и Active Server Pages.
На компьютере, на котором установлен IIS, запустите User Manager . В окне и предоставьте группе Everyone права на локальный доступ (Log On Locally).
Запустите программу Microsoft Exchange Server Administrator, откройте контейнер Protocols для вашего узла и дважды щелкните на протоколе HTTP. Установите флажок Enable protocol. Это дает возможность пользователям, почтовые ящики которых хранятся на сервере, считывать или отправлять почту через протокол HTTP, используя стандартную программу просмотра Web-страниц, такую как Microsoft Internet Explorer 3.0 или более поздние версии.
Подключение к личной учетной записи электронной почты
Чтобы проверить, работает ли поддержка HTTP, запустите свою программу просмотра Web-страниц и введите в адресной строке имя своего Microsoft Exchange Server, а после него - «/exchange». С левой стороны экрана должен появиться логотип Microsoft Exchange Server, а справа - окно регистрации (рис. 3). Если этого не произошло, это значит, что протокол HTTP установлен неправильно. Если вы видите регистрационное окно, введите свое имя пользователя электронной почты (например, Administrator) и щелкните там, где надпись «click here». Теперь должно появиться диалоговое окно, где вас попросят удостоверить свою личность. Введите имя домена и имя пользователя в поле Username (например, MyDomain\Administrator), а в поле Password - свой пароль. После этого на экране появится форма, при помощи которой вы сможете читать или отправлять почту.
В Microsoft Exchange Server 5.0, поддержка протокола NNTP устанавливается по умолчанию при инсталляции сервера. Это позволяет пользователям из любой клиентской программы NNTP просматривать общие папки, а также, используя NNTP, публиковать или считывать статьи телеконференций с news-серверов USENET.
Чтобы получить возможность доступа к тем или иным общим папкам (Public Folders) через NNTP, запустите программу Microsoft Exchange Server Administrator, откройте окно протокола NNTP в контейнере Protocols для своего узла. Установите флажки Enable protocol и Enable client access (рис. 4) и щелкните OK. Если вы хотите иметь анонимный доступ к общим папкам, перейдите к закладке Anonymous и выберите Allow Anonymous Access.
Настройка протокола NTTP
Для того чтобы прочитать статью телеконференции с USENET-сервера в Интернете, запустите мастер телеконференций командой File|New Other. В самом начале неплохо провести элементарное считывание публикации из известного источника, например, с общего news-сервера Microsoft (msnews.microsoft.com) Когда вы закончите, поддержка NNTP будет сконфигурирована и программа-мастер активизирует Internet News Service сервера Microsoft Exchange Server. Если после того, как вы нажмете «Download the active file from my provider now», связь прерывается, то возможна проблема с маршрутизатором. Если это так временно выберите «I will configure my newsfeed later». Позже вы сможете, установив поддержку протокола, перейти к объекту-публикации на msnews.microsoft.com в контейнере Connections и загрузить активный файл.
Чтобы протестировать клиентский доступ к NNTP, можно использовать любую клиентскую программу для NNTP. Чтобы провести тестирование вручную, можно, как и раньше, воспользоваться Telnet, используя порт TCP/IP 119.
Чтобы протестировать поддержку телеконференций, загрузите объект-публикацию с сервера msnews.microsoft.com в контейнере Connections для своего узла и щелкните на закладке Inbound. На несколько секунд там появится надпись «Setting up the Active File», после чего вы увидите список телеконференций, которые имеются на сервере новостей Microsoft. Вы можете выбрать и загрузить несколько из них, а затем нажать OK. Примерно через 30 минут вы увидите различные телеконференции и сообщения в общих папках Microsoft Exchange Server.
