|
Dneska budeme pokračovat v nastavování CAS role. Jak jsme si řekli minule, tak CAS se stará o přístup užuvatelů k jejich mailboxům a to jak fyzicky - šáhne do mailboxu pro data, tak po
stránce bezpečnostní - zajišťuje komunikaci s Active Directory. V podstatě je základem CAS role IIS. Tedy web server, který se stará o hromadu služeb. MS tomu sám říká EWS neboli Exchange
web services. Je to velké množství služeb. My si zatím řekneme jen o některých užitečných. Třeba se časem dostaneme dál. Taky je důležité říct, že se velmi liší chování různých verzí
Outlooku. Například Outlook anywhere funguje myslím od Outlooku, který je v Office 2003 SP2. Availibility service, který poskytuje Free/Busy informace funguje od Outlooku 2007. Autodiscover
funguje od Outlooku 2007 a u mobilních zařízení s Windows mobile 6.1. Bohužel majitelé iPhone, Nokia, SE, Android zařízení, kteří mají nějakou verzi Active Sync nebo Mail for Exchange mají
většinou smůlu. Budu tak nějak počítat, že máte aspon Outlook 2007. Pokud bych dostal nějaké maily, že má někdo Outlook 2003 a neví si s něčím rady, tak se pokusím přidat informace.
Tak začneme hned od podlahy, nastavíme Virtual directory pro EWS a venkovní adresu, pod kterou bude služba dostupná:
[PS] Set-WebServicesVirtualDirectory -Identity "EX01\EWS (Default Web Site)" -ExternalUrl https://gw.jan-kovar.cz/EWS/Exchange.asmx -BasicAuthentication:$True
Pokud máte notebook, se kterým chcete cestovat a mít možnost se rovnou z Outlooku připojit k Exchange serveru, tak budeme potřebovat Outlook Anywhere. Použijeme příkaz v powershellu, který
snad ani nepotřebuje komentář. Možná přece jen něco. Informace, které zadáváme, budou použity pro Autodiscovery service. Pokud budeme mít funkční Autodiscover, tak Outlook někde na internetu
zjistí, že adresa serveru je gw.jan-kovar.cz, má použít basic přihlášení.
[PS] Enable-OutlookAnywhere -Server "ex01" -ExternalHostname "gw.jan-kovar.cz" -DefaultAuthenticationMethod "basic" -SSLOffloading $false
WARNING: Outlook Anywhere will be enabled on your Client Access server after a configuration period of approximately
fifteen minutes. To verify that Outlook Anywhere has been enabled, check the application event logon server ex01.
RunspaceId : aaf1b60f-f384-42a5-931a-b1959d6671c6
ServerName : ex01
SSLOffloading : False
ExternalHostname : gw.jan-kovar.cz
ClientAuthenticationMethod : Basic
IISAuthenticationMethods : {Basic}
MetabasePath : IIS://EX01.tnx.cz/W3SVC/1/ROOT/Rpc
Path :
Server : ex01
AdminDisplayName :
ExchangeVersion : 0.10 (14.0.100.0)
Name : Rpc (Default Web Site)
DistinguishedName : CN=Rpc (Default Web Site),CN=HTTP,CN=Protocols,CN=ex01,CN=Servers,CN=Exchange Administrati
ve Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=TNX HOME,CN=Microsoft Exchange,CN=S
ervices,CN=Configuration,DC=tnx,DC=cz
Identity : ex01\Rpc (Default Web Site)
Guid : 945b0903-1068-4424-8547-9b7b37263b24
ObjectCategory : tnx.cz/Configuration/Schema/ms-Exch-Rpc-Http-Virtual-Directory
ObjectClass : {top, msExchVirtualDirectory, msExchRpcHttpVirtualDirectory}
WhenChanged : 4/19/2010 7:07:18 AM
WhenCreated : 4/19/2010 7:07:18 AM
WhenChangedUTC : 4/19/2010 5:07:18 AM
WhenCreatedUTC : 4/19/2010 5:07:18 AM
OrganizationId :
OriginatingServer : dc01.tnx.cz
IsValid : True
Následuje OAB - Offline address book - OAB poskytuje offline přístup k AD informacím z GALu a jiných listů. My nastavíme informace, které budou předávány klientům prostřednictvím
autodiscoveru. OAB se může šířit pomocí webu nebo přes Public Folder. Já jsem vůbec Public folder nevytvářel, takže uživatelé starších verzi Outlooku mají smůlu.
[PS] Set-OabVirtualDirectory -Identity "OAB (Default Web Site)" -ExternalUrl https://gw.jan-kovar.cz/OAB -requiressl:$true
Můžeme se podívat, jak je OAB nastavený:
[PS] Get-OfflineAddressBook | fl
RunspaceId : 308cf4ff-72c7-417d-90a9-2e9fd7084bf5
Server : ex01
AddressLists : {\Default Global Address List}
Versions : {Version4}
IsDefault : True
PublicFolderDatabase :
PublicFolderDistributionEnabled : False
GlobalWebDistributionEnabled : False
WebDistributionEnabled : True
LastTouchedTime : 7/25/2010 6:13:17 AM
LastNumberOfRecords : 4
MaxBinaryPropertySize : 32768
MaxMultivaluedBinaryPropertySize : 65536
MaxStringPropertySize : 3400
MaxMultivaluedStringPropertySize : 65536
ConfiguredAttributes : {OfficeLocation, ANR, ProxyAddresses, ANR, PhoneticGivenName, ANR, GivenName, ANR, P
honeticSurname, ANR, Surname, ANR, Account, ANR, PhoneticDisplayName, ANR, DisplayNa
meUnicode, ANR, ExternalMemberCount, Value, TotalMemberCount, Value, ModerationEnabl
ed, Value, DelivContLength, Value, MailTipTranslations, Value, ObjectGuid, Value, Is
Organizational, Value...}
DiffRetentionPeriod : 30
Schedule : {Sun.5:00 AM-Sun.5:15 AM, Mon.5:00 AM-Mon.5:15 AM, Tue.5:00 AM-Tue.5:15 AM, Wed.5:00
AM-Wed.5:15 AM, Thu.5:00 AM-Thu.5:15 AM, Fri.5:00 AM-Fri.5:15 AM, Sat.5:00 AM-Sat.5
:15 AM}
VirtualDirectories : {ex01\OAB (Default Web Site)}
ExchangeVersion : 0.10 (14.0.100.0)
AdminDisplayName :
Name : Default Offline Address Book
DistinguishedName : CN=Default Offline Address Book,CN=Offline Address Lists,CN=Address Lists Container,
CN=TNX HOME,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=tnx,DC=cz
Identity : \Default Offline Address Book
Guid : 382e2554-7ff1-477e-99fc-e207f61273b4
ObjectCategory : tnx.cz/Configuration/Schema/ms-Exch-OAB
ObjectClass : {top, msExchOAB}
WhenChanged : 7/25/2010 6:13:24 AM
WhenCreated : 4/11/2010 1:50:55 PM
WhenChangedUTC : 7/25/2010 4:13:24 AM
WhenCreatedUTC : 4/11/2010 11:50:55 AM
OrganizationId :
OriginatingServer : DC02.tnx.cz
IsValid : True
No a když chceme používat autodiscover, tak ho musíme taky nastavit:
[PS] Set-AutodiscoverVirtualDirectory -Identity 'Autodiscover (Default Web Site)' -InternalUrl 'https://ex01.tnx.cz' -ExternalUrl 'https://gw.jan-kovar.cz'
No, základní nastavení máme, ovšem tohle všechno je na nic, pokud nemáme SSL certifikát. Máme dvě možnosti, buď si nějaký koupíme a nebo si ho vytvoříme sami. Já si budu dělat
vlastní certifikát, který má tu nevýhodu, že jej budeme muset ručně přidat do důvěryhodných certifikačních autorit. Jinak nebude fungovat. Ukážeme si, jak se to dá udělat pomocí
group policy na počítačích v doméně. Tak nejdřív ho vytvoříme. Nacpeme tam spoustu jmen, i když je ani nebudeme třeba potřebovat.
[PS] New-ExchangeCertificate -IncludeAutoDiscover -IncludeServerFQDN -IncludeServerNetBIOSName -IncludeAcceptedDomains -PrivateKeyExportable $true -DomainName gw, gw.jan-kovar.cz, gw.tnx.cz, ex01, ex01.tnx.cz, ex01.jan-kovar.cz, outlook.tnx,cz, outlook.jan-kovar.cz -SubjectName 'c=CZ, o=TNX HOME,cn=gw.jan-kovar.cz'
Confirm
Overwrite the existing default SMTP certificate?
Current certificate: '67A0491E37399AA6FFD2E9065855561D05E6A426' (expires 4/11/2015 1:44:59 PM)
Replace it with certificate: 'D22DB47E9DC3E420D2D9DF9D65F590B5618A1238' (expires 4/19/2015 6:52:43 AM)
[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"):
Thumbprint Services Subject
---------- -------- -------
D22DB47E9DC3E420D2D9DF9D65F590B5618A1238 IP..S. CN=gw.jan-kovar.cz, O=TNX HOME, C=CZ
Při instalaci se vytváří nějaký defaultní self signed certifikát, který my teď nahradíme tím naším self signed certifikátem. No a řekneme, pro jaké služby jej chceme použít.
[PS] Enable-ExchangeCertificate -Thumbprint D22DB47E9DC3E420D2D9DF9D65F590B5618A1238 -Services IIS
Pro dnešek všechno, příště si ukážeme, jak pomocí group policy "zdůvěryhodnit" náš certifikát.
|
