Главная Exchange/UC, Новое Тестирование ActiveSync в Exchange 2010 (Часть 1)
  • Тестирование ActiveSync в Exchange 2010 (Часть 1)

    mobsync

    Мобильные устройства настолько плотно вошли в нашу жизнь, и порой кажется, что электроная почта читается на мобильном устройстве если не чаще, то уж точно не сильно реже чем на рабочем компьютере. В данной статье мы поговорим об ActiveSync, протоколе, позволяющем синхронизировать мобильный телефон с почтовым ящиком Exchange 2010. Следует отметить, что ActiveSync появился довольно давно, а именно с выходом в свет Exchange 2003, но все же особый интерес к данному способу подключения появился в последние пару лет.

    Возьмем официальное определение:

    Exchange ActiveSync —протокол синхронизации Microsoft Exchange, оптимизированный для работы с сетями с низкой пропускной способностью и высокой задержкой. Exchange ActiveSync позволяет пользователям мобильных телефонов получать доступ к электронной почте, календарю, контактам и задачам, а также работать с этими сведениями в автономном режиме.

    Microsoft Exchange ActiveSync работает «из коробки» и доступен сразу после установки роли сервера клиентского доступа (CAS). Поэтому сотруднику, имеющему почтовый ящик на вашем сервере для подключения небходимо иметь мобильный телефон под управлением Windows Mobile 5.0 с пакетом функций обмена сообщениями и обеспечения безопасности MSFP (Messaging and Security Feature Pack) или более позднюю версию Windows Mobile. Так же присутсвует возможность подключения через ActiveSync с других мобильных устройств, поддерживающих данную технологию.

    При подключении клиент отправляет серверу клиентского доступа HTTPS запрос, в рамках которого и происходит синхронизация данных. После синхронизации HTTPS запрос простаивает и случае отсуствия изменений никакие данные не передаются. Продолжительность данного запроса 15 минут и в течении данного времени клиент ждет сообщений об изменений с сервера. Если изменения происходят во время срока существования HTTPS-запроса, сервер Exchange выдает устройству ответ, сообщающий, что возникли изменения и устройство должно синхронизироваться с сервером Exchange. После завершения синхронизации создается новый долгоживущий HTTPS-запрос на повторный запуск процесса. Данная процедура называется Direct Push и как раз она позволяет мобильному клиенту узнавать о поступлении новой почты через несколько секунд послее ее попадания в почтовый ящик на сервере.

    Как вы могли обратить внимание по-умолчанию запрос осуществляется с ипользованием HTTPS (а не HTTP), т.е при подключении клиента происходит SSL шифрование, при этом используется сертификат Exchange сервера. На вэб сервере IIS находится виртуальный каталог Microsoft Exchange ActiveSync, именно к нему подключаются наши мобильные клиенты и именно он требует SSL. (Рис.1)

    image

    Рисунок 1. Настройки SSL виртуального каталога Microsoft Exchange ActiveSync

    Использование SSL это не параноя разработчиков, а суровая необходимость. Если из Exchange Management Shell используя коммандлет Get-ActiveSyncVirtualDirectory посмотреть настройки вирутального каталога, то становится ясно, что для аутентификации наших пользователей задействован способ аутентификации Basic. (Рис.2)

    Basic проверка подлинности — это наиболее простой способ проверки подлинности, при котором запрашиваемые у клиента, имя пользователя и пароль, отправляются на сервер в виде открытого текста. Сервер проверяет корректность имени пользователя и пароля и предоставляет доступ клиенту. Этот вид проверки подлинности включен по умолчанию для Exchange ActiveSync. При использовании Basic проверки подлинности с SSL имя пользователя и пароль отправляются в виде обычного текста, но сама передача данных шифруется. Поэтому делаем вывод в необходимости использования SSL в производственном использоовании ActiveSync.

    image

    Рисунок 2. Просмотр параметров виртуальной директории Active Sync

    Для тестирования подключения по Active Sync необязательно наличие мобильного телефона, в век виртуализации все делается гораздо проще. Достачно скачать виртуальные Windows Mobile из комплекта Developer Tool Kit. Существет несколько нюансов, в моей тестовой среде виртуальный Windows Mobile 6.5 запускался на виртуальной машине в среде Hyper-V. И чтобы дать возможность мобильному устройству увидеть сеть, пришлось в свойствах виртуальной машины Hyper-V (в которой стартует windows mobile 6.5 sdk) включить спуфинг мак адресов. (Рис.3) Это даст возможность нашему виртуальному коммуникатору общаться с сетью через виртуальный сетевой адаптер нашей системы.

    Но и это еще не все. Что бы Windows Mobile смог увидеть наш Exchange Server, необходимо в настройках эмулятора на закладке Network разрешить использовать сетевой адаптер машины на которой он запущен. (Рис.4) Теперь, когда все подготовительные этапы выполнены, можно перейти в первому подключению.

    image

    Рисунок 3. Включение спуфинга мак адресов.

    image

    Рисунок 4. Настройка сети в виртуальной Windows Mobile

    Дальше все зависит от того, какой сертификат используется вашим сервером, впринципе возможно три варианта:

    1. Самоподписный сертификат, созданный при установке Exchange.

    2. Сертификат, выданный внутренним центром сертификации.

    3. Сертификат, купленный у коммерческого центра

    Первый вариант мы сразу отметает, самоподписные сертификаты зло, которое даже в тестовой среде право на жизнь не имеет. Т.е остается вариант два и три. Если с третим вариантом все здорово, то при использовании сертификата от внутреннего центра возникает вопрос доверия. Мобильное стройство не член домена и соответсвенно никакого доверия вашему внутреннему центру сертификации у него нет. Поэтому придется немного пошустрить.

    Для начала нам необходим файл цепочки сертификатов, получить который можно несколькими способами, я имея установленный компонент Web Enrollment на центре сертификации, запросил его из браузера. (Рис.5)

    image

    Рисунок 5. Запрос цепочки сертификатов через Web Enrollment

    Когда файл цепочки сертификатов получен, остается мелочь, доставить его на мобильное устройство. Я пошел следующим путем, временно отключил использование SSL при подключении ActiveSync и разослал его тестовым пользователям. Подключился тестовыми пользователями по ActiveSync  без шифрования и добавил цепочку сертификатов.

    Отключение SSL на виртуальном каталоге ActiveSync:

    1. В диспетчере IIS выбераем Веб-сайт по умолчанию и виртуальный каталог Microsoft-Server-ActiveSync, а затем щелкаем Свойства.

    2. На вкладке Безопасность каталога в области Безопасность подключений, щелкаем Изменить.

    3. В области Безопасность подключений снимает галку Запросить безопасный канал (SSL).

    4. После завершения этой процедуры виртуальный каталог Exchange ActiveSync на веб-сайте более не будет требовать использование протокола SSL.

    Далее, на виртуальном мобильном устройсте, настраиваем IP адрес из внутренней сети и когфигурируем ActiveSync подключение для любой учетной записи. Процедура конфигурирания сети мобильного устройства, ровно, как и настройка ActiveSync подробно раскрыта в другой нашей статье. Вас интересует главы «Подключение устройства c Windows Mobile к локальной сети» и «Подключение к Exchange». Либо же эту процедуру можно посмотреть в моем вебкасте по мотивам данной статьи. При подключении вам необходимо добавить файл цепочки сертификатов на мобильное устройство. (Рис.6)

    image

    Рисунок. 6 Добавление файла цепочки сертификатов на мобильное устройство

    Когда все клиенты получили данный файл, требование SSL шифрования на виртуальном каталоге ActiveSync мы включаем обратно, а на мобильном устройстве заново запускаем настройку ActiveSync и добавляем галку требовать SSL. На выходе получаем полную «секьюрность» при общение мобильного клиента и сервера.

    Ну на самом деле безопасность пока не тотальная, мобильное устройство это еще один потенциальный «краник» утечки информации, который при должной снаровке мы можем прикрутить. В Exchange Server существуют специальные политики для мобильных устройств, которые затягивают гайки, причем хотелось бы обратить внимание, что при нашем первом подключении политика по умолчанию уже была применена. Поскольку она довольно демократична и разрешает все что можно, то действия ее мы с вами не заметили

    Мы же можем создать несколько политик, каждая из которых может нести разные уровни садизма над сотрудниками и применить их к различных группам подопытных. (Рис.7)

    image

    Рисунок. 7 Пример политик почтовых ящиков Exchange ActiveSync

    Ничто не мешает создавать политику используя графическую оснастку Exchange Management Console, но я воспользуюсь шэлом (EMS), и создам политику из примера для руководителей организации и для этого выполню команду:

    New-ActiveSyncMailboxPolicy -Name ExecutiveSyncPolicy -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -DevicePasswordHistory:28 -AttachmentsEnabled:$true -RequireDeviceEncryption:$true -WSSAccessEnabled:$true

    Политика создана, но это еще не все, теперь мы должны применить ее для пользователя или группы пользователей, опять же задействуем EMS:

    Get-Mailbox -OrganizationalUnit Users | Set-CasMailbox -ActiveSyncMailboxPolicy 'ExecutiveSyncPolicy'

    Первым командетом мы выбираем все почтовые ящики для пользователей находящихся в контейнере Active Directory – Users, а вторым применяем для них недавно созданную политику. Теперь при следующей синхронизации на мобильном устройстве политика будет обновлена, а сам пользователь получит запрос на устовку пароля. (Рис.8)

    image

    Рисунок. 8 Применение новой политики почтовых ящиков Exchange ActiveSync

    Отметим, что в новой политике мы задали самый минимум параметров и большую часть интересных фишек оставили за кадром. Описание всех параметров политики и способы редактирования ее через оснастку (EMC) можно найти со следующей статье или в библиотеке TechNet.

    image

    Рисунок. 9 Просмотр информации о подключенном устройстве.

    Теперь когда устройство синхронизировалось с сервером, мы можем просмотреть информацию о нем. Делается это командлетом GetActiveSyncDevice, через который можно посмотреть ПО мобильного устройства, дату последней синхронизации и много всего другово. (Рис.9)

    К сожалению мобильные телефоны забываются в транспорте, теряются, крадутся и просто исчезают без следа, а поскольку на них содержится ваша переписка и возможно вложения, то в целях обеспечения безопасности, мы просто обязаны иметь «рычаг» который может потушить пропавшее устройство.

    Рычага даже два, один у администратора, второй в владельца телефона, но начнем с админа. В его власти выбрать почтовый ящик и по контекстному меню зайти в раздел Manage Mobile Phone, приэтом ему дается выбор, как поступить с потерянным устройством. (Рис.10)

    Выбор не велик:

    Remove the mobile phone partnership – запрет на синхронизацию устройства, хотя на самом деле одну синхронизацию выполнить все таки даст, в рамках которой вся почта сохраненная на устройстве будет удалена. Впоследствии при попытке синхронизаций клиент будет получать сообщение об ошибке. Если клиент не синхронизируется, то вся почта продолжает храниться на устройстве.

    image

    image 

    Рисунок. 10 Управление мобильным устройством клиента.

    Preform a remote wipe to clear phone data — «жесткий наезд» удаляющий все сведения Exchange, хранящиеся на мобильном телефоне. При этом желание владельца телефона не спрашивается, а сам телефон уходит в перезагрузку, после которой становится чист. Т.е процедура может использоваться для удаления данных с украденного телефона или для очистки устройства перед назначением его другому пользователю. Опять же в отличие от первого варианта при очистке удаляется все содержимое ОЗУ и карт устройства, фактически вы осуществляете аппаратный сброс удаленного телефона.

    Как я уже раньше говорил, при утере мобильника озадачивать администратора не обязательно, возможность сброса устройства есть и у пользователя. Для этого человеку достаточно подключиться к Exchange Control Panel, выбрать устройство и выполнить очистку. (Рис. 11)

    image

    Рисунок. 11 Очистка устройства пользователем.

    В принципе после отправки команды на очистку устройства, у вас еще есть возможность ее отменить, если синхронизация пока не прошла, то можно попробовать указать “Cancel Device Wipe” и остановить неизбежное. Если вдруг после очистки устройства вам понадобится его снова подключить через ActiveSync, то там же в Exchange Control Panel устройство необходимо удалить из списка. В противном случае повторная попытка подключения устройства закончится очередным сбросом.

    Возможность удалить заблокированное устройство для повторного подключения есть и у администратора, делается это легко через коммандлеты EMS:

    1. Получаем список мобильных устройств и смотрим их имена и идентификаторы

    Get-ActiveSyncDevice | ft Name,GUID -AutoSize

    Name Guid

    ---- ----

    PocketPC§BAD73E6E02156460E800185977C03182 0ccad52f-d899-471f-af7d-09a6bcafec7e

    2. Удаляем устройство, указав его GUID

    Remove-ActiveSyncDevice -Identity 0ccad52f-d899-471f-af7d-09a6bcafec7e

    После удаления устройства из списка, ничто не мешает подключить его к Exchange заново и использовать впоследствии.

    Пока мы очищали мобильное устройства, часть вас могла заметить, что в ECP панели есть блок “Text Messaging” (Рис.10) где вроде скрыта возможность отправки SMS из почтового ящика. Exchange Server 2010 позволяет отправлять и принимать SMS через Outlook или OWA, используя коммуникатор под управлением Windows Mobile 6.1 и старше, подключенный по протоколу ActiveSync.

    Сценарий очень простой, при синхронизации мобильного устройства, вы указываете, что желаете синхронизировать и SMS сообщения. После чего, используя Outlook, создаете SMS, которое уходит по ActiveSync на устройство и отправляется через оператора. Опять же входящие на устройство SMS попадают в ваш почтовый ящик. (Рис.12)

    image

    Рисунок. 12 Работа с SMS в Exchange 2010

    Если никакие функций по синхронизации SMS при подключении у вас не появились (как на Рис.13), необходимо перейти по ссылке файла обновления Outlook Mobile: https://outlook.vo.msecnd.net/OutlookMobileSetup.cab и скачать данный инсталлятор, после чего загрузить само обновление.

    image

    Рисунок. 13 Отправка сообщений из OWA после настройки синхронизации SMS

    На финишной прямой после синхронизации с установленным обновлением, у вас должна появиться возможность работы с SMS. (Рис.13)

    В процессе подключения мобильного устройства я всегда явно указывал имя сервера клиентского доступа, к которому хотел подключиться, на самом деле это не дефолтный вариант, вариантом по умолчанию является использование службы автообнаружения.

    Служба Автообнаружения — позволяет, указав электронный адрес и пароль автоматически получить имя сервера клиентского доступа, тем самым упростив жизнь конечному пользователю устройства. (Рис.14)

    image

    Рисунок. 14 Работа службы Автообнаружения

    Как же работает данная служба?

    1. Клиент вводит на своем устройстве электронный адрес и пароль, при этом галочка выбора автоматического обнаружения (Attempt to detect Exchange Server Settings automatically) должна стоять. (Рис. 15)

    image

    Рисунок. 15 Выбор при настройке Автообнаружения

    2. Коммуникатор обращается к DNS и запрашивает SRV запись для указанного почтового домена. Соответственно эта запись должна быть заблаговременно добавлена администратором во внешнюю зону DNS.

    Пример записи: _autodiscover._tcp IN SRV 0 0 443 beta.itband.ru

    По самой записи можно сделать вывод о том, что файл с настройками можно получить на сервере beta.itband.ru если обратиться к нему по 443 порту с использованием TCP.

    3. Коммуникатор использует Secure Sockets Layer (SSL) соединение для подключения через брандмауэр к виртуальному каталогу службы автообнаружения. Служба автообнаружения собирает XML-ответ, основанный на данных предоставленных пользователем.

    4. Служба автообнаружения посылает XML-ответ через брандмауэр по SSL. Этот ответ XML интерпретируется коммуникатором, и параметры синхронизации автоматически настраиваются на мобильном телефоне.

    image

    Рисунок. 16 Процесс получения настроек от службы Автообнаружения

    Возможность использования автоматического обнаружения зависит от операционной системы мобильного телефона, который вы используете. Не все операционные системы поддерживают автоматическое обнаружение. Например, Windows Mobile 5.0 не поддерживает такую функцию.

    На этом моменте хотелось бы закончить первую часть статьи. Продолжение следует…

     

    MCT/MVP  Илья Рудь

    • Рубрика: Exchange/UC,Новое
    • Автор: Илья Рудь
    • Дата: Понедельник 27 Дек 2010

Комментарии

  1. а если комп с виртуалкой в домене, то как быть с начтройкой WMobile 6.5?

  2. Илья, доброго дня. Может, есть мысли. Настраиваю синхронизацию с телефона, на котором установлен Android. Адрес сервера прописала руками, аутентификацию проходит — предлагает выбрать, что синхронизируем... потом думает секунд 40 и выдает ошибку: не удалось создать учетную запись. Повторите попытку позже.

    Никаких дополнительных настроек, касающихся ActiveSynс, на сервере не делала.

  3. Проблема решена. Извините! Если кому-то будет интересно вот ссылка social.technet.microsoft...41b-f8e42997dd6c

Опубликовать

Я не робот.