Главная Exchange/UC, Без рубрики, Новое Управление устройствами в Exchange Server: Часть I. ActiveSync в Exchange Server 2003
  • Управление устройствами в Exchange Server: Часть I. ActiveSync в Exchange Server 2003

    Fujitsu-Siemens-Pocket-LOOX-N500

    В этом и следующей  статье  я коротко расскажу о возможностях управления устройствами в Exchange Server. И начну я с Exchange Server 2003, причем с SP2. С одной стороны, учитывая близость релиза Exchange Server 2010, говорить о позапрошлой версии вроде бы и немного нелепо, с другой стороны в нашей стране до сих пор можно встретить организации, в которых используется  Exchange Server 5.5…

    Почему именно Exchange Server 2003 с SP2? Потому что именно в этой версии появилась поддержка Direct Push – технологии синхронизации данных без инициализации со стороны клиента, появилась возможность проведения удаленной очистки устройства – Remote Wipe – позволяющей в случае утери устройства удалить с него информацию, появились настройки по централизованному управлению паролем на устройстве.sp1vssp2

    Рис. 1 Отличия в доступных настройках ActiveSync Exchange Server 2003 без SP2 и с SP2

    Итак, что такое Exchange ActiveSync? Если коротко, то это протокол, основанный на HTTP и XML, который позволяет мобильным устройствам получать доступ к данным, расположенным на сервере Exchange. В Exchange Server 2000 для синхронизации использовался отдельный продукт под названием Mobile Information Server, но начиная с Exchange Server 2003 выполняемые им функции были реализованы в виде службы Exchange ActiveSync и включены в стандартную поставку ПО.

    Основным назначением Exchange ActiveSync является синхронизация т.н. PIM-данных (почты, контактов, календарей) по технологии Over-the-Air (OTA), т.е. без использования физического подключения устройства к настольному ПК посредством крэдла. В качестве главного плюса данной технологии можно выделить мобильность и скорость реакции пользователя, в качестве минуса – возрастающие расходы на мобильную связь.

    В ActiveSync Exchange Server 2003 администратор может использовать следующие опции для настройки:

    • Enable user initiated synchronization – Разрешить пользователю инициировать синхронизацию данных
    • Enable Notifications – Разрешить передачу SMS уведомлений для проведения обновления. С появлением Direct Push данная опция утратила актуальность
    • Enable Direct Push over HTTP(s) – Разрешить использование Direct Push
    • Device Security – Настроить парольную политику, а именно:
      • Enforce password on device – Назначить обязательное использование паролей на устройстве
      • Minimum password length – Обозначить минимальную длину пароля
      • Require both numbers and letters – Потребовать использование сложных паролей из букв и цифр
      • Inactivity time – Указать в минутах время простоя для устройства, по истечении которого оно будет блокироваться
      • Wipe device after failed – Указать количество неудачных попыток ввода пароля, после которых будет произведена очистка устройства и возврат к заводским настройкам
      • Refresh settings on the device – Указать временной интервал для проверки обновлений настроек на сервере
      • Allow access to devices that do not fully support password settings – Разрешить использование устройств, которые поддерживают настройки безопасности не полностью
      • Exceptions – Создать список исключений
    • Enable Outlook Mobile Access – Разрешить использование Outlook Mobile Access (OMA)
    • Enable unsupported devices – Разрешить использование неподдерживаемых устройств

    Тут хочется сделать небольшое пояснение – политики ActiveSync, о которых часто упоминают в различных обсуждениях, как таковые появились только в Exchange Server 2007, т.к. именно там стало возможным создавать некую конфигурацию и назначать ее определенным пользователям. В версии Exchange Server 2003 SP2 управление сводится к настройкам безопасности, применяемым ко всем устройствам, кроме тех, которые принадлежат пользователям, перечисленным в списке исключений.

    Также стоит упомянуть о функции Remote Wipe и о возможности использования цифровых сертификатов для создания более безопасной среды.

    В отношении Remote Wipe хочу заметить, что данный функционал становиться доступен только администраторам Exchange Server 2003 после установки консоли Microsoft Exchange Server ActiveSync Web Administration Tool. Для пользователей эта возможность в Exchange 2003 не доступна.

    Также необходимо отметить, что не все функции, о которых обычно говорят в контексте EAS выполняются самим Exchange’ом – так, например, для построения безопасной инфраструктуры с использованием сертификатов необходим такой компонент, как центр сертификации (Certification Authority, CA), отвечающий за  выпуск и проверку сертификатов. А за использование SSL отвечает Internet Information Services (IIS).

    В Exchange Server 2003 есть небольшая особенность – при работе с конфигурацией Front-End/Back-End с использованием SSL все работает нормально, но если у вас только один сервер, то в его конфигурацию необходимо внести некоторые изменения, включая изменения в реестре. Более подробно об этом можно прочитать на TechNet.

    В работе с сертификатами есть и еще один нюанс – для работы с клиентами на базе Windows Mobile 5.0 необходимо использовать отдельную утилиту для установки сертификатов на устройство. Назывется эта утилита SmartPhonePAddCert, хотя мне попадались еще несколько аналогичных инструментов, разработанных энтузиастами. Но учитывая, что клиенты на базе версии 5.0 сейчас не сильно распространены, я предлагаю не нервничать – в Windows Mobile 6 работа с сертификатами автоматизирована и процесс импорта аналогичен десктопным ОС.

    Как работает DirectPush [1]

    Процесс DirectPush состоит из следующих этапов.

    1. Клиент отправляет HTTP-сообщение, известное как запрос проверки связи (ping), на сервер Exchange Server, запрашивая у сервера ответ о том, произошли ли какие-либо изменения в почтовом ящике сервера за определенное время. В запросе проверки связи клиент указывает папки, в которых нужно отслеживать изменения. Обычно это папка входящих сообщений, календарь, контакты и задачи
    2. Когда сервер Exchange Server получает этот запрос, он проверяет указанные папки до возникновения одного из следующих событий:
    • – Истекает срок ожидания. Срок ожидания определяется по времени кратчайшей задержки в сетевом пути. В этом случае сервер Exchange Server передает клиенту ответ «HTTP 200 OK»
    • – Одна из папок изменилась, например поступила новая почта. В этом случае сервер Exchange Server отправляет ответ на запрос и указывает папку, в которой произошли изменения

    Клиент отвечает на ответ сервера Exchange Server одним из следующих способов:

    • – При получении ответа «HTTP 200 OK», означающего отсутствие изменений, повторно отправляется запрос проверки связи
    • – При получении ответа, отличного от «HTTP 200 OK», клиент отправляет запрос на синхронизацию папки, которая изменилась. По завершении синхронизации клиент заново отправляет запрос проверки связи
    • – Если в течение указанного времени клиент не получает ответ от сервера Exchange Server, он уменьшает интервал времени в запросе проверки связи и заново отправляет этот запрос

    Итак, пора рассмотреть как упомянутые выше возможности согласуются с популярными мобильными платформами? Чтобы получить ответ на этот вопрос я предлагаю взглянуть на таблицу ниже:

    tabl

    Собственно, согласно таблице, Symbian и iPhone OS до версии 3.1 не поддерживают работу с S/MIME, что необходимо учитывать при выборе платформ для работы с Exchange Server по ActiveSync. Информации о том, когда Mail for Exchange будет поддерживать работу с S/MIME, пока нет.

    Естественно, что кроме трех перечисленных выше платформ существуют и другие – BlackBerry от RIM, Web OS от Palm, Android от Google. И если Palm в своем Palm Pre заявил поддержку EAS, то для двух других платформ необходимо использовать дополнительное ПО от независимых разработчиков – для Android можно использовать ПО RoadSync от DataVis, для BlackBerry – AstraSync.

    С точки зрения настройки ActiveSync все происходит достаточно просто – на сервере должен быть рзрешен данный протокол (вкладка Mobile Services в Exchange System Manager), в свойствах пользователя также должен быть разрешен ActiveSync. После этого пользователь может настроить свое устройство на синхрониацию с Exchange Server. Естественно, при настройке могут возникнуть какие-либо проблемы, но, как правило,  все они достаточно известны и описаны в различных источниках. При возникновении трудностей рекомендую использовать встроенную помощь Exchange Server и библиотеку TechNet по продукту, сайт службы поддержки Microsoft и форумы TechNet.

    В заключении я хотел бы отметить, что EAS в Exchange Server 2003 представляет собой достаточно простой, не предоставляющий больших возможностей, способ управления мобильными устройствами. В качестве его плюсов можно отметить простоту настройки, обеспечение минимального уровня безопасности информации на устройствах, централизованность управления соответствующими настройками. В качестве минусов – невозможность выборочного назначения настроек и их скудность. Но при размышлениях о переходе на платформу Exchange Server 2007 перечисленные минусы могут быть использованы в качестве дополнительных доводов за миграцию.

    Более подробно о ActiveSync в Exchange Server 2007 я расскажу в одном из следующих постов.

    [1] Более подробно о том, как работает Direct Push можно прочитать на TechNet – Технология Direct Push и Общие сведения о технологии «Direct Push»

    [2] Доступно начиная с iPhone OS 3.1

     

    Алексей Ватутин

Комментарии

  1. Если говорить об управлении устройствами то интересно было бы почитать про Microsoft System Center Mobile Device Manager, а вот если только про Exchange наверно про 2007/2010, часть 2 и часть 3 🙂 ждем продолжения!

    Также есть и другие интересные продукты по управлению мобильными устройствами к примеру от Symantec Mobile Management

    Спасибо!

    Арман.

  2. Про Microsoft System Center Mobile Device Manager планируется цикл статей.

  3. Арман, по SCMDM, как заметил Алексей, будет цикл статей. Части 2 и 3 тоже будут 🙂 Но все это будет чуть позже.
    По не MS – возможно будет продукт от Sybase, по Symantec’у обещать ничего не могу – в глаза его не видел, но все может быть 🙂

  4. если есть в планах это хорошо!

  5. кажется я уже нашел продолжение 🙂

    Управление устройствами в Exchange Server: Часть II. ActiveSync в Exchange Server 2007.