Как публиковать Microsoft Exchange Active Sync (EAS) с помощью ISA Server 2006

В первой части этого цикла статей я предоставлю вам некую базисную информацию о том, как Exchange Direct push работает и какие шаги нужно выполнить на веб-сайте Exchange и IIS, чтоб опубликовать Microsoft Exchange Active Sync.

Exchange Server 2003 предоставляет неопасный доступ к почтовым ящикам сервера Exchange Server для мобильных устройств с клиентами Windows Mobile 5 и поболее новых версий. С каждой версией Exchange Server компания Microsoft расширяет и упрощает работу с мобильными устройствами, но всегда остается один и тот же вопрос о том, как обеспечить неопасный мобильный доступ с клиентов Mobile к вашей внутренней сети. Самые наилучшие рабочие способности Windows Mobile для Exchange Server 2003 идут с пакетом обновления Service Pack 2. Exchange Server 2007 предлагает еще больше усовершенствованных и новых мобильных функций Windows, чем его предшественник. Одним из решений является внедрение сервера ISA Server 2006, который обладает широким диапазоном опций безопасности, начиная от HTTPS-Bridging для подготовительной аутентификации клиентов и заканчивая доступом только к одному URL.

В этой статье мы расширим безопасность доступа нашего мобильного клиента при помощи клиентских сертификатов на мобильном устройстве. Только мобильный клиент с реальным клиентским сертификатом от нашего внутреннего доверенного центра сертификации может иметь доступ к Exchange Server. Всегда есть возможность расширять безопасность, если ISA будет доверять только сертификатам с издающего сертификаты компонента безопасности. Я расскажу, как это делать, незначительно позднее.

На веб-сайте Exchange

На сервере Exchange Server необходимо выполнить только пару шажков. Запустить диспетчера Exchange System Manager и перейти в характеристики мобильной службы.

Вы должны включить Direct Push через HTTP(s), чтоб разрешить доступ для клиентов Windows Mobile. Ваше мобильное устройство Windows Mobile обязано иметь пятую либо более позднюю версию с MSFP (Безопасность службы сообщений и пакет функций (Messaging Security and Feature Pack)).

Направьте внимание:если вы желаете расширить безопасность вашей среды Exchange так, чтоб отказывать в доступе к серверу Exchange Server неким мобильным клиентам, прочтите эту статью.

В качестве необязательного, но рекомендуемого шага вы должны также включить безопасность устройств (Device Security) для увеличения уровня безопасности ваших мобильных устройств.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 1: Включение Direct Push по HTTP(s)

Есть несколько опций, которые можно активировать и ввести в действие. Вы должны решить, какие из этих опций будут полезны для вашей организации Exchange и ваших мобильных юзеров.

В качестве рекомендуемой малой длины пароля следует заставлять юзеров использовать более 8 символов для паролей, при всем этом пароли должны содержать буковкы и числа.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 2: Характеристики безопасности устройств

На мой взор, неплохой мыслью будет вытеснение устройства после каждого количества x неудачных попыток входа. Вытеснение после восьми попыток будет хорошей стартовой точкой.

Для расширенного администрирования мобильных устройств Windows Mobile следует направить внимание на выходящего скоро диспетчера Microsoft System Center Mobile Device Manager 2008. При помощи диспетчера Microsoft System Center Mobile Device Manager (SYMDM) вы можете централизованно управлять всеми частями мобильных устройств Windows Mobile. Вы сможете отыскать дополнительную информацию о WMDC на данном интернет веб-сайте. Microsoft System Center Mobile Device Manager просит клиентов Windows Mobile версии 6.1 и выше.

На веб-сайте IIS

Так как мы желаем защитить трафик меж сервером Exchange Server и устройством Windows Mobile, мы должны издать сертификат интернет сервера, который будет употребляться для защиты коммуникации. IIS нужен сертификат для стандартного интернет веб-сайта. Потому что мы используем внутренний центр сертификации Enterprise CA в этой статье, можно запросить сертификат с этого центра сертификации.

Если у вас отсутствует внутренний CA, можно также использовать инструмент, который генерирует самоподписываемые сертификаты (self signed certificates). Одним из примеров такового инструмента является SELFSSL из пакета ресурсов IIS6. Если вы используете самоподписываемый сертификат, его также нужно импортировать и в хранилище сертификатов доверенного корневого центра сертификации на Exchange и ISA серверах.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006
Прирастить

Набросок 3: SSL сертификат для стандартного IIS интернет веб-сайта

Направьте внимание:имя, которое вы используете тут, также является частью общего имени (Common Name – CN) на сертификате. Следует держать в голове, что нужно использовать это имя в правиле публикации ISA в поле ‘to’.

Проблема

Microsoft Exchange Active Sync просит, чтоб для каждой виртуальной директории Exchange защита SSL не использовалась. Это значит, что если вы не требуете SSL, юзеры сумеют получать доступ к OWA с SSL либо без него. Это не должно создавать заморочек, если вы убеждены в том, что ISA Server не разрешает HTTP доступ к интернет веб-сайту OWA.

Если вам не нравится таковой параметр, можно ввести SSL на стандартном интернет веб-сайте Exchange и использовать Microsoft Exchange Active sync после выполнения определенной работы. Читайте тут о том, как это сделать. Короткая заметка, необходимо сделать дополнительную виртуальную директорию для Exchange Active Sync. Вам необходимо скопировать стандартную /Exchange виртуальную директорию в новейшую директорию и после чего навести Exchange Active Sync на новейшую виртуальную директорию. Это делается методом конфигурации ключа системного реестра.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006
Прирастить

Набросок 4: Не просите SSL на виртуальном интернет веб-сайте Exchange

Вам также необходимо включить внедрение клиентских сертификатов. Включите опцию Добиваться клиентские сертификаты и Включить сравнение клиентских сертификатов. Нажмите Поменять и OK (вам не надо тут ничего поменять; вам только необходимо надавить Поменять и OK, чтоб включить функцию).

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 5: Требование клиентских сертификатов

В качестве последнего шага нам необходимо включить службу сравнения директорий Windows в свойствах раздела интернет веб-сайта, во вкладке объекта компьютера IIS в диспетчере IIS.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 6: Включение службы сравнения директорий Windows

Ограниченное делегирование Kerberos (Kerberos constrained delegation)

Потому что мы используем клиентские сертификаты, ISA должен брать на себя процесс аутентификации и аутентифицировать юзера, потому мы должны использовать KCD (Kerberos constrained delegation). Это тоже одна из обстоятельств, по которой сервер ISA Server должен быть членом домена Active Directory. Откройте оснастку юзеров и компов Active Directory (DSA.MSC), перейдите к объекту ISA Server ‘ Делегирование и включите «доверять» для процесса делегирования для HTTP и W3SVC процесса сервера Exchange Server.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 7: KCD

Если вы не видите вкладку делегирования, вам необходимо включить Расширенный вид в DSA.MSC.

Запрос сертификата для правила публикации ISA

В качестве последующего шага нам необходимо выполнить запрос на сервере ISA Server для общественного имени правила публикации. Вы должны запросить сертификат с CN=общественным именованием, которое употребляется в качестве наружного имени сервера в конфигурации мобильных устройств для EAS.

Как публиковать Microsoft Exchange Active Sync (EAS) при помощи ISA Server 2006

Набросок 8: Запрос сертификата на ISA Server

Если вы не сможете открыть интернет веб-сайт certsrv на сервере ISA Server, вам необходимо сделать правило брандмауэра, которое позволит HTTPS с LOCALHOST к серверу CA.

Заключение

В этой статье я попробовал показать вам, как использовать Exchange Active Sync с ISA Server 2006 и Exchange Server 2003 SP2 и клиентскими сертификатами. Сочетание ISA Server 2006 и клиентских сертификатов дает вам наивысшую безопасность для Exchange Active Sync. Как вы лицезрели, для включения Exchange Active Sync в этой конфигурации требуются определенные шаги. Тут также есть определенные ловушки в виде неправильных сертификатов и некорректно настроенного KCD, но я надеюсь, что эта статья даст вам точное осознание того, как использовать данное решение в вашей среде.

Дополнительные ссылки:

Step-by-Step Guide to Deploying Windows Mobile-based Devices with Microsoft Exchange Server 2003 SP2
How to use Microsoft Exchange Active Sync with SSL
Microsoft Device Emulator 3.0 — Standalone Release
Securing Exchange Data from Unapproved Mobile Devices (or how to block a phone or service from taking data out of your Exchange Server)
Microsoft System Center Mobile Device Manager 2008

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.