ActiveSync z pohledu správce Exchange serveru

Martin Pavlis – pavlis@kpcs.cz - Microsoft MVP – Senior IT Consultant KPCS CZ, s.r.o.

Na úvod svého povídání si dovolím malé zamyšlení nad tím, co to vlastně ActiveSync je… věřím, že většina ze čtenářů tohoto článku používá do svých přenosných zařízení nějakou formu synchronizace dat, ale na přímou otázku, co to vlastně ActiveSync je, by podle mě dokázal odpovědět málokdo. A přitom je to jeden z největších vynálezů Microsoftu, který dnes sice hojně využívají uživatelé hlavně větších společností, což se ale časem, spolu s čím dál větším rozmachem mobilních datových sítí a mobilních zařízení, bude víc a víc měnit… a tak, i když dnes ActiveSync známe jen ve spojitosti s Exchange serverem, zvykejme na myšlenku, že ActiveSync bude za chvíli hýbat opravdu celým mobilním světem, tedy nejen tím okolo Exchange serveru. Určitě k tomu přispěje i prodej licence na využití ActiveSync konkurenčnímu Googlu (zatím ve stádiu beta testování).

Takže znovu – co to tedy ActiveSync vlastně je? ActiveSync, je zjednodušeně řečeno synchronizační protokol, který umožňuje NĚCO s NĚČÍM synchronizovat. V našem případě to NĚCO je mobilní klient (telefon, PDA, atd.) a to NĚČÍM je Microsoft Exchange Server. A nemusí se jednat jen o synchronizaci dat, synchronizovat se mohou i politiky, tedy nastavení toho, jak se má klient chovat. Dříve ActiveSync fungoval jen pomocí připojení fyzického kabelu k PC, časem přibylo IrDA, Bluetooth, WiFi a nakonec přišlo to nejdůležitější – Direct Push. Možnost synchronizace skrze mobilní datové sítě – GPRS, 3G a další. V tu chvíli dostáváme do ruky něco, co už na první pohled ohromí – změna na straně serveru se během několika okamžiků projeví i u klienta. A to je věc, na kterou se sice velmi jednoduše zvyká, ale bez které se následně skoro nedá žít. A opravdu nepřeháním… když máme ve firmě nějakou oslavu, leckdy se mi stane, že najdu ve 3h ráno na baru totálně opilého kolegu, který ale aktivně pročítá emaily, které se mu během pitky sesynchronizovaly do mobilu :o). A to asi mluví za vše…

Direct Push

Začít se bavit o ActiveSyncu má podle mě smysl až od momentu, kdy se do něho včlenila technologie jménem Direct Push. Ta umožňuje automaticky synchronizovat data skrze mobilní datové sítě, což spolu s  datovými tarify mobilních operátorů přineslo konečně šanci, být opravdu a neustále „in“. Mobilní klient se tak stává dalším plnohodnotným klientem Exchange serveru a začíná se tak naplňovat dlouhodobá strategie Microsoftu – je jedno kde a jakým způsobem se schránkou pracujete, vždy byste ale měli mít aktuální data a stejné možnosti práce, jako u plnohodnotného Office Outlooku.

Co k nasazení ActiveSync a Direct Push budete potřebovat:

• Windows Mobile 5 (s nainstalovaným Messaging and Security Feature Pack (MSFP)), nebo Windows Mobile 6 a vyšší
• Jakýkoli jiný telefon, který v sobě má zabudován (a zalicencován) ActiveSync

A teď to začne být trochu problematičtější. Bohužel… Pokud se bavíme o verzi Exchange Server 2010, tak ta nabízí celou řadu možností toho, co se na klienty může synchronizovat. Pokud mám nejnovější Windows Mobile 6.5, mohu využít 100% toho, co Exchange umí. Pokud mám verze starší, je jasné, že o některé novinky přijdu. Pokud ale začnu používat mobilní klienty jiných výrobců, stává se to opravdu divočinou a vy musíte od dodavatele přesně zjistit, co vámi zvolený přístroj opravdu umí. Bohužel se někdy chovají a umí různé věci i telefony od jednoho výrobce. V následující tabulce uvádím hrubý přehled toho, co jednotliví výrobci nabízejí.

Možná bychom se tedy měli nejprve ptát na to, co očekáváme, že bude zařízení při synchronizaci s Exchange serverem podporovat a teprve potom provést jeho výběr a následný nákup.

Teď už víme, co je Direct Push a co k němu potřebujeme a teď se pojďme podívat na to, jak vlastně funguje. Na následujícím obrázku to máme krásně znázorněno – pojďme si jednotlivé kroky popsat:

1. Mobilní telefon po spuštění posílá HTTPS požadavek na Exchange Server – říkáme mu PING. Tento požadavek říká serveru, aby v následujících 15ti minutách v případě změny v jakékoli složce, která je nakonfigurována pro synchronizaci, okamžitě upozornil klienta. Klient po té přechází do úsporného režimu. Tomuto 15ti minutovému režimu říkáme tlukot srdce.
2. Pokud se během 15 minut na straně serveru nic nezmění, server odpovídá zprávou HTTP 200 OK. Mobilní klient obdrží tuto zprávu, probudí se a posílá stejný požadavek z bodu 1, kterým celý proces restartuje.
3. Pokud se během 15ti minut na straně serveru naopak něco změní, server posílá odpověď, ve které informuje klienta o nové, nebo změněné položce v konkrétní složce. Jakmile mobilní klient přijme tuto zprávu spouští synchronizační proces dané složky. Po synchronizaci posílá opět PING z bodu 1, kterým celý proces restartuje.

Pro fungování Direct Push musíme zajistit, aby mezi klientem a Exchange serverem bylo možné vytvořit šifrované HTTPS spojení – nic víc. Bohužel je někdy ale problém v dlouho trvajících odpovědích (standardně 15 minut) a proto v sobě Direct Push má i schopnost tento interval dynamicky měnit dle potřeby tak, aby zajistil fungování i v případě, že vaše síť, síťové prvky, nebo datová síť vašeho providera podporují jen kratší intervaly – 8, 12, nebo 15 minut? Žádný problém. Mimochodem – pokud by vám za celý měsíc nepřišel ani jeden jediný email a mezi vaším klientem a serverem by tedy každých 15 minut proběhl jen a jen tlukot srdce, potom by se celkový objem přenesených dat pohyboval kolem pouhých 240KB.

Obrázek 1: Topologie Direct Push

ActiveSync politiky

ActiveSync umí kromě synchronizace dat – typicky emaily, kontakty a kalendář – synchronizovat na klienta i další, hlavně bezpečnostní nastavení. Podle mě se jedná o velmi důležitou komponentu ActiveSyncu - v poštovních schránkách se dnes nachází celé množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že vám někdo ukradne váš mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon zrestartovat a vrátit do továrního nastavení (tedy vlastně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit i šifrování těchto dat. Tím pádem i zcizení telefonu a přendání datové karty neumožní útočníkovi získat žádná data.

Obrázek 2: ActiveSync - politiky hesel

Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je i možnost blokování přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon v momentě, kdy se pohybujete v zahraničí.

Obrázek 3: ActiveSync - další možná nastavení

Politik samozřejmě může být v Exchange serveru víc a není problém tak na různé uživatele aplikovat různé politiky a zajistit tak potřebná nastavení napříč všemi klienty.

Obrázek 4: Politiky ActiveSync

Autodiscover

Jako poslední kamínek zapadl do mozaiky různých Exchange technologií Autodiscover. Podporují jej sice jen ty nejnovější mobilní klienti, ale je to něco, co nám zde vždy chybělo. Autodiscover se na klientovi stará o to, že po zadání jeho emailové adresy a hesla nastaví celý přístroj tak, aby správně fungoval s Exchange serverem. Odpadá tedy nutnost pro klienta znát informace o infrastruktuře a nastavení klienta, stačí si pamatovat svůj vlastní email a heslo. Autodiscover se kontroluje opakovaně a v případě rozsáhlých změn ve vaší Exchange infrastruktuře (např. při migracích) se postará o opakovanou a správnou rekonfiguraci klienta.

Nebudu se rozepisovat úplně do detailu jak celý Autodiscover funguje, ale alespoň pro představu krátký popis toho, co se po zadní emailové adresy a hesla děje:

1. Klient si z emailové adresy bere jméno domény – tedy to, co je za „@“, zavináčem. Pokud je tedy moje adresa pavlis@kpcs.cz, ví, že dále bude pracovat s doménou „kpcs.cz“
2. Skrze DNS překlad se pokouší najít autodiscover záznam. Ten může být ve třech tvarech:
   a.       A záznam kpcs.cz domény
   b.      A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
   c.       SRV záznam „_autodiscover“
3. Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange server do virtuální cesty „<jméno serveru>/autodiscover/autodiscover.xml“.
4. Po nezbytné autentizaci klient od serveru dostává XML soubor, který webová služba na základě požadavku pro klienta vytvořila. Tímto XML souborem si klient sám službu ActiveSync nakonfiguruje

Obrázek 5: Autodiscover

Certifikát Exchange serveru

Blížíme se na konec povídání o ActiveSyncu… to by ale nemohlo být kompletní, kdybych nezmínil ještě jednu, velmi důležitou věc. Veškerá komunikace mezi klienty a Exchange v případě použití ActiveSync probíhá přes HTTPS komunikaci. Tedy SSL šifrovanou komunikaci. K jejímu vytvoření je na straně serveru vyžadován certifikát. Ten musí splňovat následující tři kritéria:

• Musí být platný (certifikáty jsou vydávány na konkrétní dobu, např. 1 rok)
• Jméno uvedené v certifikátu se musí shodovat se jménem, které volá klient
• Certifikační autorita, která certifikát vydala, musí být pro klienta důvěryhodná

Hlavně v posledním bodě narazíte na mnoho problémů. Pokud si certifikát necháte vystavit např. vaší vlastní, interní certifikační autoritou, připravte se na to, že budete muset do každého zařízení, které bude komunikovat s Exchange, nejprve naimportovat certifikát certifikační autority. Na většině přístrojů to jde, ale je to ruční a poměrně nepříjemná práce. Obzvlášť v případě, že máte ve firmě desítky, stovky, nebo tisíce různých zařízení. V takovém případě bych vám raději doporučil si zakoupit certifikát od nějaké komerční a uznávané certifikační autority, která bude klientovi známa. To tedy znamená, že jako správce Exchange serveru bych měl nejprve zvážit, jaké mobilní klienty budeme ve firmě provozovat, ověřit si u každého přístroje které certifikační autority podporuje a teprve potom provést nákup certifikátu u takové certifikační autority, která je pokud možno podporována všemi klienty. Budete se divit, ale i dva telefony od stejného výrobce (např. NOKIA E66 a NOKIA N73) podporují různé certifikační autority. Osobně mám vynikající zkušenosti s certifikační autoritou Thawte, je podporována skoro na všech přístrojích a její ceny za roční certifikát jsou pro české firmy přijatelné (např. zde – ceny jsou kolem 5.000,- Kč za 1 rok).

Závěr

Doufám, že se mi podařilo vás seznámit s tím, co je ActiveSync a co vám může ve spojitost s Exchange serverem nabídnout. Doufám, že také máte představu o tom, jak funguje Direct Push, co je to Autodiscover a k čemu slouží certifikáty při zabezpečení šifrovaného HTTPS. Doufám, že to vše vám pomůže v budoucnu při nákupu a výběru nových mobilních zařízení a zajištění tak klidného a kvalitního chodu této mocné technologie.

Odkazy:

• Pokud si chcete ověřit, že ActiveSync na vašem Exchange serveru funguje tak, jak má, použijte tento online nástroj na testování Exchange: https://www.testexchangeconnectivity.com/