.png "Microsoft Exchange Server")
.png "Współpraca Microsoft Office Outlook 2007 z Exchange 2007 via ISA 2006 – Funkcjonalność Outlook Anywhere – uwierzytelnianie metodą Basic i NTLM, cz. I I"){kind=icon}
Współpraca Microsoft Office Outlook 2007 z Exchange 2007 via ISA 2006 – Funkcjonalność Outlook Anywhere – uwierzytelnianie metodą Basic i NTLM, cz. I .png "Udostępnij na: Facebook")
Autor: Jacek Światowiak
Opublikowano: 3 kwietnia 2008
Zawartość strony
.gif){kind=icon} |
Wprowadzenie |
|
Komponent RPC over HTTP Proxy |
|
Włączenie obsługi Outlook Anywhere |
|
Konfiguracja reguły publikacji usługi dostępu klienckiego na serwerze ISA 2006. |
|
Tworzenie nowego Listenera |
|
Przeczytaj pozostałe części tego artykułu |
Wprowadzenie
Exchange Server 2003 wprowadził całkowicie nowy mechanizm komunikacji Microsoft Office Outlook 2003 z Exchange Server 2003. Mechanizm zwany RPC over HTTP(S). Umożliwia on zestawienie bezpośredniego połączenia Microsoft Office Outlook 2003 z serwerem Exchange 2003 poprzez firewall’a bez konieczności zestawiania tuneli VPN. Korzystamy z enkapsulacji protokołu RCP (MAPI) w pakietach HTTP – zestawiając de facto tunel, ale via SSL.
Serwer Exchange 2007 posiada również wyżej opisaną funkcjonalność. Zmieniła się tylko nazwa – teraz określamy tą funkcjonalność jako Outlook Anywhere.
Poniższy opis pokazuje jak włączyć w/w metodę w serwerze Exchange 2007. Opublikować dostęp via ISA 2006, a do uwierzytelniania wybrać metodę Basic albo NTLM. Metoda Basic była bardzo popularna w środowisku Exchange 2003/Outlook 2003. Poniżej pokażemy sposób konfiguracji dla obu metod uwierzytelniania.
Metoda uwierzytelniania Basic – opiera się na przesyłaniu identyfikatora użytkownika i hasła jawnym tekstem – zatem jest nie polecana ze względów bezpieczeństwa.
NTLM – bazuje na odpowiednio spreparowanym hash’u hasła i jest zdecydowanie bardziej bezpieczna od metody Basic.
.gif){kind=icon}
Do początku strony
Komponent RPC over HTTP Proxy
Na wstępie należy zainstalować komponent RPC over HTTP Proxy. Zgodnie z zaleceniami instalujemy go na serwerze Exchange 2007 pełniącym rolę Client Access serwera. Jest to komponent systemowy instalowany z działu Usług sieciowych (Networking Services). Sama procedura instalacyjna jest bardzo prosta i nie będę jej tutaj dokładnie omawiał.
.png)
Rys. 1.1. Instalacja komponentu RPC over HTTP Proxy.
Do początku strony
Włączenie obsługi Outlook Anywhere
Aby włączyć obsługę Outlook Anywhere (domyślnie – podobnie jak w Exchange Server 2003 – jest ona nie włączona), należy postępować następująco:
.png)
Rys. 1.2. Funkcjonalność Outlook Anywhere – wyłączona (False).
W konsoli EMS - Exchange Management Console wybieramy kontener – Server Configuration i na serwerze pełniącym rolę CAS - Client Access serwera; klikając prawym przyciskiem myszy (lub z menu z prawej strony - Actions) wybieramy Enable Outlook Anywhere.
.png)
Rys. 1.3. Włączenie funkcjonalności Outlook Anywhere.
Na kolejnym okienku należy teraz określić, nazwę zewnętrzną serwera (RPC Proxy), metodę uwierzytelniania – oraz włączyć (lub nie) mechanizm SSL Offloading (realizacja tunelowania SSL na dodatkowym serwerze – nie będzie tu omawiana). Na rysunku poniżej zaznaczono opcję uwierzytelnienia metodą NTLM, ale zaczniemy od metody Basic – tak jak standardowo robiło się dla klienta Microsoft Office Outlook 2003/Exchange 2003.
.png)
Rys. 1.4. Zakończenie procesu konfiguracji Outlook Anywhere.
Należy teraz zrestartować serwer – aby nastąpiło prawidłowe uaktualnienie kluczy w rejestrze oraz prawidłowe uruchomienie wszystkich usług systemowych.
Do początku strony
Konfiguracja reguły publikacji usługi dostępu klienckiego na serwerze ISA 2006.
Rozpocznijmy proces konfiguracji reguły publikacji usługi na serwerze ISA 2006. Z konsoli mmc ISA Server Management z prawej ramki wybieramy Publish Exchange Web Client Access.
.png)
Rys. 1.5. Kreatory publikacji usług/ serwerów.
Poniżej przestawiamy pełną procedurę tworzenia reguły publikacji dostępu klienckiego metodą RPC over HTTP(S).
.png)
Rys. 1.6. Strona startowa kreatora – podanie nazwy reguły.
Następnie wybieramy typ klienta: OWA, Anywhere, OMA, EAS oraz wersję publikowanego serwera.
OWA – Outlook Web Access – dostęp via przeglądarka internetowa.
OMA – Outlook Mobile Access – dostęp via urządzenia mobile (CHTML, xHTML) - w uproszczeniu „komórki”.
Outlook Anywhere – zagadnienie omawiane w artykule.
EAS – Exchange Active Sync – dostęp – synchronizacja z urządzeniami mobilnymi – w uproszczeniu PALM’y.
Jako wersję serwera wybieramy oczywiście Exchange Server 2007.
.png)
Rys. 1.7. Kreator – wybór typu klienta.
Wyjaśnienie zaznaczonego na zielono fragmentu – opisane zostanie dalej.
Następnie określamy – czy publikowany jest pojedynczy serwer czy farma serwerów. W naszym przypadku pojedynczy serwer.
.png)
Rys. 1.8. Kreator – wybór publikacji dla pojedynczego serwera lub farmy serwerów.
W następnej kolejności określmy czy ISA 2006 będzie się łączyć z publikowanym serwerem w postaci niezaszyfrowanej (protokół HTTP) czy zaszyfrowanej (domyślnej) – po protokole HTTPS (SSL).
.png)
Rys. 1.9. Kreator – wybór szyfrowanego lub nie sposobu komunikacji ISA - Publikowany serwer
Jako następny parametr definiujemy nazwę wewnętrzną publikowanego zasobu (serwera) – w naszym przypadku nazywa się on exch1.test.local. Tu trzeba zwrócić uwagę, iż ISA musi mieć możliwość rozwiązywania nazw wewnętrznych (dostęp do wewnętrznego DNS’a lub musi posiadać odpowiednie wpisy w swoim pliku HOSTS).
.png)
Rys. 1.10. Kreator – Wskazanie nazwy wewnętrznej publikowanego serwera.
W następnym oknie podajemy nazwę zewnętrzną publikowanego serwera. W naszym przypadku – outlookanywhere.test.com
.png)
Rys. 1.11. Kreator – Wskazanie nazwy zewnętrznej publikowanego serwera.
Jako kolejny krok – kreator publikowanego dostępu do serwera Exchange 2007, poprosi nas o wybór odpowiedniego Listenera dla publikowanego zasobu. Listener – to komponent sieciowy serwera ISA odpowiadający za nasłuchiwanie na określonym adresie IP, protokole (numerze portu) i przekazujący odebrane informacje do dalszych komponentów serwera ISA 2006.
.png)
Rys. 1.12. Kreator – Wybór Listenera.
Jeżeli taki Listener nie istnieje, można go od razu utworzyć (NEW).
Do początku strony
Tworzenie nowego Listenera
.png)
Rys. 1.13. Kreator – Tworzenie nowego Listenera.
.png)
Rys. 1.14. Kreator – Tworzenie nowego Listenera.
.png)
Rys. 1.15. Kreator – Tworzenie nowego Listenera.
Uwaga!
Powyższy rysunek pokazuje, iż Listener nasłuchuje na wszystkich dostępnych adresach IP. Można już w tym momencie wybrać właściwy adres IP lub zmodyfikować to ustawienie w procesie późniejszym.
W następnym oknie wybieramy certyfikat SSL, który będzie związany z naszym Listenerem.
.png)
Rys. 1.16. Kreator – Tworzenie nowego Listenera.
Tu należy się czytelnikom mała dygresja. Jeżeli chcemy uzyskać możliwość obsługi wielu Listenerów typu HTTPS (SSL) pracujących z różnymi nazwami lub posługującymi się różnymi metodami uwierzytelniania, takie rozwiązanie będzie wymagało więcej niż jednego publicznego adresu IP od strony interfejsu zewnętrznego serwera ISA 2006 oraz dodatkowego certyfikatu wystawionego na właściwą nazwę. Poniższy przykład pokazuje właśnie takie rozwiązanie. Listener o nazwie – HTTPS listener – pracuje na przykładowym adresie IP 50.50.50.1 oraz związany jest z certyfikatem secure.test.com – uwierzytelnianie metodą Form-Based. Drugi o nazwie Outlook Anywhere listener – pracuje na adresie 50.50.50.2 i związany jest z certyfikatem outlookanywhere.test.com – uwierzytelnianie metodą Basic. W razie konieczności dodania dodatkowego adresu IP do dowolnego interfejsu serwera ISA – należy pamiętać – aby po tej czynności zrestartować serwer ISA – „to dość niewdzięczna funkcjonalność”. Bez tej czynności reguły związane z publikacją zasobów opartą o tej dodatkowy adres mogą nie funkcjonować prawidłowo. |
.png)
Rys. 1.17. Wiele Listenerów zdefiniowanych w serwerze ISA 2006
Dodawanie dodatkowych adresów IP do serwera ISA 2006, przeprowadza, się prostą procedurą dodania dodatkowego adresu IP do konkretnego interfejsu sieciowego.
.png)
Rys. 1.18. Wiele adresów IP przypisanych do danego interfejsu sieciowego serwera ISA 2006.
Następnie należy wybrać i dopasować certyfikat do danego Listenera (w naszym przypadku dodatkowo do konkretnego adresu IP).
W przykładzie poniższym mamy wystawione dwa certyfikaty SSL. Zaznaczamy outlookanywhere.test.com i wybieramy Select.
Nie będę omawiał metody generacji ani pozyskiwania certyfikatów – jest to zupełnie odrębny temat, który był wielokrotnie omawiany. Są to klasyczne certyfikaty SSL – typu WEB.
.png)
Rys. 1.19. Wybór certyfikatu.
.png)
Rys. 1.20. Wybór certyfikatu – okno podsumowujące.
Następnie należy wybrać metodę uwierzytelniania KLIENT (Microsoft Office Outlook) -> ISA 2006. W naszym przypadku w rozwiązaniu pierwszym wybieramy Basic.
.png)
Rys. 1.21. Wybór metody uwierzytelniania.
Następnie pojawi a się okno z możliwością włączenia funkcjonalności SSO – Single Sign On (ale tylko w metodzie uwierzytelniania typu Form-Based Authentication). Tu jest niedostępne.
.png)
Rys. 1.22. Włącznie funkcjonalności SSO.
W końcu okno podsumowania procesu tworzenia Listenera.
.png)
Rys. 1.23. Okno podsumowania procesu tworzenia Listenera.
Wracamy do dalszego procesu konfiguracji publikacji serwera. Wybieramy metodę przekazywania poświadczeń pomiędzy ISA a publikowanym serwerem. W naszym pierwszym przypadku - metoda Basic.
.png)
Rys. 1.24. Okno – Authentication Delegation
Następne okno – automatycznie nastąpi wybór typów użytkowników, którzy mają prawo uzyskać dostęp do publikowanego Serwera Exchange 2007, tu wszyscy użytkownicy uwierzytelnieni – All Authenticated Users.
.png)
Rys. 1.25. Okno – User Sets.
Okno podsumowania kreatora publikacji Serwera Exchange 2007.
.png)
Rys. 1.26. Okno podsumowania.
W następnej części
Niezbędne modyfikacje wprowadzane od strony klienta – Microsoft Office Outlook 2003/2007.
Do początku strony
Przeczytaj pozostałe części tego artykułu
- Współpraca Microsoft Office Outlook 2007 z Exchange 2007 via ISA 2006 – Funkcjonalność Outlook Anywhere – uwierzytelnianie metodą Basic i NTLM, cz. II
- Współpraca Microsoft Office Outlook 2007 z Exchange 2007 via ISA 2006 – Funkcjonalność Outlook Anywhere – uwierzytelnianie metodą Basic i NTLM, cz. III
.jpg) |
Jacek Światowiak (MCT, MCSE, MCSE+M, MCSE+S, MCTS, MCP) Absolwent Wydział Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej. Obecnie zatrudniony w Altkom Akademia S.A. jako Trener Technologii Microsoft. Posiada bogate doświadczenie w zakresie wdrażania różnych technologii informatycznych. Od 2002 roku wykładowca Technologii i Protokołów Sieciowych na Podyplomowym Studium Politechniki Gdańskiej. Jest współautorem skryptu dla studentów informatyki: „Protokoły IPv6 – Opis protokołów. Materiały do laboratorium”. Posiada certyfikaty MCT, MCSE, MCSE+M, MCSE+S, MCTS Microsoft Exchange Server 2007, MCP ID 3621156. |
| Do początku strony |