Rychlé odkazy
- Co potřebujeme
- Čeho dosáhneme
- Zprovoznění OMA
- Vypnutí OMA pro server
- Vypnutí OMA pro uživatele
- Nastavení přístupu
- OMA přes SSL
- Nastavení klienta
Co potřebujeme
- Exchange Server 2003 SP2 (service pack není důležitý, ale budu popisovat tuto verzi, výhody SP2 zmíním v článku o Exchange ActiveSync)
- mobilní zařízení (mobilní telefon, Smartphone, PDA, apod.) případně simulátor pro PC
Pozn.: Většinu softwaru používám v anglické verzi (včetně Windows 2003 serveru a Exchange serveru), proto budu popisovat nastavení anglické, myslím však, že není problém aplikovat stejný postup na českou verzi.
Čeho dosáhneme
Můžeme říci, že OMA jsou WAPové stránky. Přesnější však je, že formát výstupu se určuje podle zařízení. Takže můžeme použít i třeba Internet Explorer a v tom případě se zvolí jako výstupní formát HTML. V případě mobilního klienta je to WAP. V každém případě je zobrazení optimalizováno pro mobilní zařízení, která nemají příliš velký display a záleží na objemu přenášených dat.
Pomocí OMA získáme přístup k poště (složka Inbox přímo, ostatní přes Strom složek pošty), kalendáři, kontaktům (osobním i GAL – přes vyhledat osobu) a úkolům.
Zprovoznění OMA
Se zprovozněním není žádný problém, protože již ve standardním (výchozím) nastavení je vše zapnuto, ale je vhodné zvýšit bezpečnost. Postupy jsou velmi podobné, jako když nastavujeme OWA. Řekl bych spíše jednodušší, neboť klient nabízí menší funkčnost. Při nastavování však většinou narazíme na jeden problém, který je zde popsaný.
Vypnutí OMA pro server
Globální povolení nebo zakázání použití OMA se nastavuje v System Manageru:
- otevřeme System Manager
- otevřeme položku Global Settings
- klikneme pravým tlačítkem na Mobile Services a zvolíme Properties
- na záložce General v sekci Outlook Mobile Access
- zaškrtnutím Enable Outlook Mobile Access povolíme OMA pro celý server
- zaškrtnutím Enable unsupported devices povolíme přístup i z nepodporovaných zařízení (myslím, že většinou je vhodné povolit)
Vypnutí OMA pro uživatele
Přístup k OMA můžeme řídit pro každého uživatele. Pokud bychom chtěli povolit přístup k OMA pouze některým uživatelům (defaultně mají všichni povoleno), tak postupujeme následně:
- otevřeme Active Directory Users And Computers (potřebujeme rozšíření pro Exchange)
- najdeme uživatele, kterému chceme změnit nastavení
- otevřeme jeho Properties
- klikneme na záložku Exchange Features
- ve skupině Mobile Services můžeme vypnout nebo zapnout Outlook Mobile Access
Nastavení přístupu
Věci okolo přístupových práv a autentizaci jsou stejné jako u OWA, proto odkazuji na článek Nastavení Outlook Web Access (OWA) na Exchange Server 2003.
Důležité je pouze to, že virtuální adresář pro OMA se jmenuje /OMA a je přístupný přes System Manager (zdejší nastavení opět přepisuje to co je v IIS, takže většinu nastavte zde) i IIS. U OMA přichází v úvahu pouze Basic Authentication.
OMA přes SSL
Komunikace je by default opět jako čistý text a to včetně jména a hesla, proto myslím, že je nezbytné používat SSL. Má to nevýhodu, že některé starší telefony, sice podporují WAP, ale již ne HTTPS, takže se nebudou moci připojit. Všechna nová zařízení by již s HTTPS neměla mít problémy. Pravděpodobně již máme rozchozené OWA i se SSL, takže máme nainstalovaný serverový certifikát. Jinak je opět základní podmínkou mít tento certifikát na serveru.
Vynucení použití HTTPS
- otevřeme Internet Information Services (IIS) Manager
- rozbalíme jméno_serveru -> Web Sites -> Default Web Site
- klikneme pravým tlačítkem na adresář OMA
- zvolíme Properties
- přepneme se na záložku Directory Security
- ve skupině Secure communications klikneme na Edit
- zde zvolíme Require secure channel (SSL) a navíc můžeme vyžadovat 128bitové šifrování
Problém se SSL u OMA
Pokud máte na Exchange serveru nastaveno vynucené SSL u OWA nebo ověřování pomocí formulářů. A já předpokládám, že alespoň jedno nastavení máte. Tak narazíte na následující problém.
Když se pokusíte připojit na adresu pro OMA, tak nejprve vše vypadá v pořádku. Objeví se (dialogové) okno pro přihlášení. Vy zadáte uživatelské jméno (s doménou) a heslo. Ale dále nedojde k přihlášení, ale zobrazí se stránka s chybovým hlášením:
A System error has occurred while processing your request. Please try again. If the problem persists, contact your administrator.
Pokud se podíváte na Exchange serveru do Event logu, tak pod Application objevíte takovouto (nebo podobnou) zprávu:
Event Type: Error Event Source: MSExchangeOMA Event Category: (1000) Event ID: 1503 Date: 31.5.2006 Time: 13:41:55 User: N/A Computer: OKMAIL Description: An unknown error occurred while processing the current request: Message: The remote server returned an error: (403) Forbidden. Source: Microsoft.Exchange.OMA.ExchangeDataProvider Stack trace: at Microsoft.Exchange.OMA.ExchangeDataProvider.OmaWebRequest.GetRequestStream() at Microsoft.Exchange.OMA.ExchangeDataProvider.ExchangeServices.GetSpecialFolders() at Microsoft.Exchange.OMA.ExchangeDataProvider.ExchangeServices..ctor(UserInfo user) Message: Exception has been thrown by the target of an invocation. Source: mscorlib Stack trace: at System.Reflection.RuntimeConstructorInfo.InternalInvoke(BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture, Boolean isBinderDefault) at System.Reflection.RuntimeConstructorInfo.Invoke(BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture) at System.RuntimeType.CreateInstanceImpl(BindingFlags bindingAttr, Binder binder, Object[] args, CultureInfo culture, Object[] activationAttributes) at System.Activator.CreateInstance(Type type, BindingFlags bindingAttr, Binder binder, Object[] args, CultureInfo culture, Object[] activationAttributes) at Microsoft.Exchange.OMA.UserInterface.Global.Session_Start(Object sender, EventArgs e) Message: Exception of type Microsoft.Exchange.OMA.DataProviderInterface.ProviderException was thrown. EventMessage: UserMessage: A System error has occurred while processing your request. Please try again. If the problem persists, contact your administrator. Source: Microsoft.Exchange.OMA.UserInterface Stack trace: at Microsoft.Exchange.OMA.UserInterface.Global.Session_Start(Object sender, EventArgs e) at System.Web.SessionState.SessionStateModule.RaiseOnStart(EventArgs e) at System.Web.SessionState.SessionStateModule.CompleteAcquireState() at System.Web.SessionState.SessionStateModule.BeginAcquireState(Object source, EventArgs e, AsyncCallback cb, Object extraData) at System.Web.AsyncEventExecutionStep.System.Web.HttpApplication+IExecutionStep.Execute() at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) For more information, see Help and Support Center at https://go.microsoft.com/fwlink/events.asp.
Řešení
Problém je způsoben tím, že OMA přistupuje k poštovní schránce přes adresář /Exchange, čili OWA. A pokud je na tomto adresáři vyžadováno SSL nebo ověřování pomocí formuláře, tak OMA nedostane přístup (nezdaří se přihlášení).
Řešení problému je popsáno přímo u Microsoftu v článku KB817379, i když zde popisované zprávy v logu jsou trochu jiné než-li moje. Nejprve jsem se nad tímto řešením zamýšlel, ale myslím, že je bezpečné a korektní.
Jde o to okopírovat virtuální adresář Exchange do nového (Exchange-oma), u kterého se zruší SSL, ale povolí se mu přístup pouze z IP adresy Exchange Serveru. Pak se změní v registrech adresář, přes který přistupuje OMA a je to. Do OWA se přistupuje pořád stejně, do stejného adresáře, tudíž přes SSL (případně formulář). Ale OMA přistupuje přes nový adresář, kde již získá přístup.
Nastavení klienta
Na klientovi není třeba nic nastavovat. Potřebujeme pouze internetový prohlížeč s podporou HTTPS. Do něj zadáme adresu (při použití SSL) https://DNS_jmeno_serveru/OMA a otevře se nám přihlašovací stránka. Podle zařízení se otevře modální okno nebo je přihlašovací dialog uvnitř stránky. Uživatelské jméno je třeba zadat buď ve tvaru NetBIOS_jméno_domény\jméno (tzv. UNC formát - Universal Naming Convention) nebo jméno@DNS_jméno_domeny (tzv. UPN formát - user principal name).
Pro testování naší konfigurace na počítači můžeme použít např.:
- "libovolný" webový prohlížeč (Internet Explorer, Firefox)
- WAPový prohlížeč pro PC, např. WinWAP
- Microsoft Windows Mobile Emulator
Microsoft Windows Mobile Emulator
Myslím, že se jedná o velmi zajímavý program, který najde širší využití. Na stránkách firmy Microsoft můžeme zdarma stáhnout řadu zajímavých programů okolo Windows Mobile, jako SDK a obrazy všech možných verzí a jazykových mutací.
Pro testování je nejjednodušší použít Standalone Device Emulator 1.0 with Windows Mobile OS Images, který obsahuje jak emulátor, v kterém obrazy běží, tak obraz poslední verze Windows Mobile 5 i s Messaging and Security Feature Pack (MSFP). Aby mě emulátor fungoval, tak jsem ještě musel nainstalovat Virtual Machine Network Driver for Microsoft Device Emulátor.
Pozn.: v současnosti je k dispozici také beta verze Microsoft Device Emulator 2.0.
Ten článek řeší přesně můj problém :-)
Zdravím a prosím o radu.
Jde mi o zprovoznění OMA a RPC over HTTP/S na Exchange.
Scénář: server na něm w2003srv, Exch2003, IIS6, CA. Na zvláštní mašině jako firewall w2003srv, ISA2004srv. Klient – MDA IV. Cílem je synchronizovat MDA s Exchangem přes ActiveSync pro Exchange.
Jsem začátečník, tak mám ještě v některých věcech poněkud guláš. Na IIS jsem v Default Web Site jsem vyžádal webový certifikát. Ten exportoval jako Personal, tedy .PFX na mašinu s ISA2004 a také na MDA. Na obou zařízeních nainstaloval. Na ISA jsem publikoval webserver v listener jsem použil importovaný certifikát. Na MDA se mi importovaný certifikát neobjevuje v Kořenových, ale pouze v Osobních a „Zprostředkovaných“. Nevím, jak vyrobit kořenový na CA, popř. kde dělám chybu. Už mě to fingovalo, do té doby než jsem se pokoušel zprovoznit RPC. Jakékoli další informace rád dodám a díky za každou dobrou radu.
Karel Bohuš
P.S.: A moc děkuji za článek!
co prosím dělat když jsem si omylem smazal server z microsoft účtu v lumii 532. děkuju moc