www.SAMURAJ-cz.com 

17.12.2017 Daniel Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Nastavení Exchange ActiveSync na Exchange Server 2003

Pátek, 30.06.2006 16:29 | Samuraj - Petr Bouška |
Uživatelé, kteří používají mobilní zařízení typu PDA nebo Smartphone vybavené operační systémem od firmy Microsoft bezpochyby znají a využívají aplikaci ActiveSync pro synchronizaci dat mezi počítačem a mobilním zařízením. Obdobnou funkcí je i Exchange ActiveSync, který běží na Exchange serveru a zajišťuje obdobné synchronizace, ale přes internet.

Rychlé odkazy

Co potřebujeme

  1. Exchange Server 2003 SP2 (service pack není důležitý, ale přináší několik nových funkcí, můj popis patří k této verzi)
  2. mobilní zařízení - Smartphone, PDA s operačním systémem Windows Mobile 2003 a výše

Pozn.: Většinu softwaru používám v anglické verzi (včetně Windows 2003 serveru a Exchange serveru), proto budu popisovat nastavení anglické, myslím však, že není problém aplikovat stejný postup na českou verzi.

Čeho dosáhneme

Exchange ActiveSync nám umožní synchronizovat naše emaily, kontakty, kalendář a úkoly odkudkoliv, kde máme k dispozici připojení k internetu (samozřejmě připojeno musí být naše mobilní zařízení). Získáme také přístup k Global Address Listu (GAL) a za určitých podmínek nám dorazí nové emailové zprávy okamžitě po příchodu na server.

Zprovoznění Exchange ActiveSync

Ve výchozím nastavení Exchange Server 2003 SP2 je vše zapnuto a připraveno k použití, já bych však doporučil provést několik změn defaultního nastavení. Exchange ActiveSync spadá, spolu s Outlook Mobile Access do kategorie mobilních služeb a jejich nastavování jsou obdobná.

Nastavení Exchange ActiveSync pro server

Globální povolení nebo zakázání použití Exchange ActiveSync se nastavuje v System Manageru:

  • otevřeme System Manager
  • otevřeme položku Global Settings
System Manager - Mobile Services
  • klikneme pravým tlačítkem na Mobile Services a zvolíme Properties
  • na záložce General v sekci Exchange ActiveSync
System Manager - Mobile Services Properties
  • zaškrtnutím Enable user initiated synchronization povolíme vlastní ActiveSync
  • položka Enable up-to-date notifications via SMTP and Text Messaging se váže k funkci, která udržuje zařízení stále aktualizováno – AUTD
  • položka Enable Direct Push over HTTP(s) slouží k aktivaci nové služby, která zajistí, aby zařízení mělo stále aktuální informace – Direct Push

Pomocí tlačítka Device Security můžeme nastavit vynucené bezpečností politiky pro mobilní zařízení. Jsou zde požadavky na heslo, zamykání v případě neaktivity, vymazání (hard reset) zařízení. Také můžeme nastavit výjimky pro určité uživatele.

System Manager - Device Security

Always-up-to-date (AUTD)

Pomocí funkce Exchange ActiveSync můžeme nastavit, aby se naše mobilní zařízení synchronizovalo automaticky s poštovní schránkou na Exchange serveru s minimální frekvencí 5 minut. Pokud však máme jako zařízení Smartphone nebo PocketPC Phone Edition s operačním systémem Microsoft Windows Mobile 2003 a výše, tak můžeme využít vlastnost zvanou Always-up-to-date (AUTD), která zajistí automatickou synchronizaci ve chvíli, kdy dorazí nová zpráva.

Funguje to tak, že ve chvíli, kdy do schránky dorazí nová zpráva, tak Exchange server odešle SMS zprávu na mobilní zařízení a to automaticky vyvolá synchronizaci. Operátor musí podporovat tento způsob zpráv a zpráva se zasílá na SMTP adresu operátora (telefonní_číslo@operátor). Je vhodné definovat operátory a jejich adresy v System Manageru - Mobile Services – New – Mobile Carrier.

Direct Push

Nová funkce, která byla přidána do Exchange Server 2003Service Pack 2 a nahrazuje funkci AUTD. Pro její fungování je třeba Smartphone nebo PocketPC Phone Edition s operačním systémem Microsoft Windows Mobile 5 s rozšířením Messaging and Security Feature Pack (MSFP).

Direct Push funguje tak, že vytvoří HTTP session (kterou iniciuje klient) a toto spojení udržuje stále aktivní (pomocí heartbeat). Když dojde k nějaké změně na serveru, je tato událost okamžitě synchronizována na klienta. Pro přenášená data i životnost baterie je výhodné, aby heartbeat interval byl co největší (je to interval mezi dvěma pingy). Ale různé okolnosti, například firewall, kde máme nastavenu maximální délku session, mohou tuto hodnotu omezovat. Upravit můžeme v registrech HKLM\SYSTEM\CurrentControlSet\Services\MasSync\Parameters hodnotyMinHeartbeatInterval a MaxHeartbeatInterval.

Pozn.: Nechápu, proč je pro tuto funkci třeba, aby se jednalo o zařízení s telefonní částí. Nikde u firmy Microsoft se mě nepodařilo o tomto nalézt informace, pouze v různých diskuzích jsou o tom zmínky. Ale pokud na zařízení není vytvořeno telefonní připojení, tak se nedá tato funkce zapnout.

Nastavení Exchange ActiveSync pro uživatele

Přístup k Exchange ActiveSync můžeme řídit pro každého uživatele. Pokud bychom chtěli povolit přístup pouze některým uživatelům (defaultně mají všichni povoleno), tak postupujeme následně:

  • otevřeme Active Directory Users And Computers (potřebujeme rozšíření pro Exchange)
  • najdeme uživatele, kterému chceme změnit nastavení
  • otevřeme jeho Properties
  • klikneme na záložku Exchange Features
  • ve skupině Mobile Services můžeme vypnout nebo zapnout User Initiated Synchronization (povolí klientovi vyvolat vzdálenou synchronizaci) a Up-to-date Notifications (povolí AUTD a Direct Push)
AD - User Properties

Nastavení přístupu

Věci okolo přístupových práv a autentizaci jsou stejné jako u OWA, proto odkazuji na článek Nastavení Outlook Web Access (OWA) na Exchange Server 2003. Virtuální adresář pro Exchange ActiveSync se jmenuje /Microsoft-Server-ActiveSync je přístupný přes System Manager (zdejší nastavení opět přepisuje to co je v IIS, takže většinu nastavte zde) i IIS. Ovšem u Exchange ActiveSync nemáme možnost nic měnit.

Exchange ActiveSync přes SSL

Komunikace je ve výchozím nastavení opět nešifrovaná a rozhodně se doporučuje použít SSL. Pravděpodobně již máme rozchozené OWA i se SSL, takže máme nainstalovaný serverový certifikát. Jinak je opět základní podmínkou mít tento certifikát na serveru. Předpokládám, že máme rozchozeno i OMA se SSL, takže jsou vyřešeny i další problémy.

Pozn.: Pro Exchange ActiveSync může nastat stejný problém s odmítnutím připojení jako u OMA, popis problému a řešení popisuji v článku Nastavení Outlook Mobile Access (OMA) na Exchange Server 2003.

Vynucení použití HTTPS

  • otevřeme Internet Information Services (IIS) Manager
  • rozbalíme jméno_serveru -> Web Sites -> Default Web Site
    IIS - virtual directory
  • klikneme pravým tlačítkem na adresář Microsoft-Server-ActiveSync
  • zvolíme Properties
  • přepneme se na záložku Directory Security
    IIS - Directory Security
  • ve skupině Secure communications klikneme na Edit
  • zde zvolíme Require secure channel (SSL) a navíc můžeme vyžadovat 128bitové šifrování
    IIS - SSL

Nastavení klienta

Pro popis nastavení klienta využiji pěkný PDA emulátor Microsoft Windows Mobile Emulator.

Pozn.: Donedávna se dala stáhnout verze, která neumožňovala vyzkoušet technologii Direct Push, protože vyžadovala aktivní GPRS připojení (tak jako originální verze). Od 15.6. 2006 je k dispozici upravená verze, kde již Direct Push funguje i přes virtuální připojení do sítě.

U jiných služeb, jako OWA či OMA, nevadí, když certifikační autorita, od které má náš server certifikát, není mezi důvěryhodnými, pouze se pokaždé zobrazí hláška, kdy musíme odsouhlasit použití tohoto certifikátu. V případě Exchange ActiveSync však musí zařízení mít mezi Trusted Root Certification Authorities kořenovou autoritu, od které má server vydaný certifikát, jinak se nám nepodaří spojení.

Pozn.: Pokud používáte ISA server a SSL bridging, tak je důležitý certifikát, který je na ISA serveru a ne na Exchange serveru (pokud nejsou stejné).

Certifikát kořenové certifikační autority je většinou zveřejněn nebo jej můžete získat od správce autorit, případně exportovat z daného serveru (třeba pomocí mmc konzole a Snap-in Certificates).

Instalace certifikátu

V emulátoru menu File – Configure nastavíme Shared folder na cestu, kde máme na PC uložen certifikát. Tento adresář se pak v emulátoru objeví jako Storage Card.

PocketPC emulator Configure

V zařízení najdeme náš certifikát, dvakrát na něj klikneme a potvrdíme, že jej chceme nainstalovat.

PocketPC emulator - instalace certifikátu

Připojení do sítě

Klikneme na ikonku v horním řádku vedle tlačítka Start (tyčka s kroužkem). Zvolíme The Internet a klikneme na Connect.

PocketPC emulator - připojení k síti

Konfigurace ActiveSync

Spustíme ActiveSync.

PocketPC emulator - ActiveSync

V Menu – Add Server Source zadáme adresu serveru. V tomto případě se nezadává žádný protokol ani se nespecifikuje adresář na Exchange serveru. Uvnitř sítě můžeme zadat IP adresu, plně kvalifikované DNS jméno nebo NetBios jméno. Zvenku záleží, jak máme server zveřejněn na firewallu. Často můžeme použít stejnou adresu jako pro OWA či OMA, ale v některých případech se používá jiná adresa kvůli rozdílnému zabezpečení OWA.

Pozn.: Je třeba myslet na to, že komunikace bude fungovat pouze s platným certifikátem, tzn. nejen, že musíme mít kořenový certifikát jako důvěryhodný. Ale také serverový certifikát musí mít Common Name (CN pod Subject) stejné jako adresu serveru, kterou zde použijeme (tzn. pokud se chceme připojit přes IP adresu, musí být tato IP adresa jako jméno).

PocketPC emulator - nastavení serveru

V dalším kroku vyplníme naše přihlašovací údaje. Pokud chceme využít automatické synchronizace, tak musíme zaškrtnout uložení hesla.

PocketPC emulator - uživatel

V posledním kroku volíme, které položky chceme synchronizovat a u některých můžeme specifikovat podrobnosti.

PocketPC emulator - výběr synchronizace

Pokud máme nastaveny politiky pro zařízení, tak se při pokusu o synchronizaci zobrazí informace, že musíme souhlasit s těmito politikami. Pokud nesouhlasíme, tak nedojde k synchronizaci. Pokud souhlasíme a některé naše nastavení neodpovídají, tak je musíme nejprve opravit.

PocketPC emulator - bezpečnostní politiky PocketPC emulator - nastavení hesla

Hledání v Global Address List (GAL)

Další novou vlastností při použití Exchange Server 2003 SP2 a mobilního zařízení s MSFP je možnost hledat kontakty v GALu. Otevřeme aplikaci Contacts a zadáme hledané jméno nebo jeho část. Následně klikneme na Find Online a zadaný text se hledá mezi kontakty v GALu.

PocketPC emulator - hledání v GALu PocketPC emulator - hledání v GALu 2

ActiveSync versus Exchange ActiveSync

Obě služby jsou velmi podobné a liší se hlavně zdrojem synchronizace. V případě ActiveSync, který máme nainstalovaný na svém PC, se synchronizuje s programem Microsoft Outlook a tedy lokálními údaji na našem počítači. Oproti tomu Exchange ActiveSync synchronizuje data s naší schránkou na Exchange serveru. I když se často jedná o stejná data, tak je třeba si uvědomit, že to tak být nemusí. Na lokálním počítači můžeme stahovat poštu i z jiné schránky nebo můžeme používat personal folder, který má úplně jiný obsah než server. Proto není možno nastavit najednou synchronizaci se serverem i klientem. Můžeme mít sice nastavené obě metody synchronizace současně, ale v každé můžeme synchronizovat jiné položky.

Zajímavé odkazy

zobrazeno: 26301krát | Komentáře [1]

Autor:

Související články:

Microsoft Exchange

Jednou částí mé práce je administrace poštovního serveru od firmy Microsoft, tedy Exchange Serveru. Články začínají u verze 2003 a jak jde čas, tak pokračují dále.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Jiři Brejcha

    Zdravím,

    díky za pěkný článek o této technologii. Kolega se chtěl dozvědět něco o ActiveSync proti Exchange Serveru 2003, tak jsem ho měl kam odkázat.

    Hodně sil do psaní dalších příspěvků,

    Jiří Brejcha

    www.jiribrejcha.net

    Sobota, 22.08.2009 01:32 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách