| Беларусь |
Инспектор
Вы можете этот курс.
Опубликован: 08.12.2008 | Уровень: специалист | Доступ: платный
Лекция 6:
Поддержка Outlook Web Access
Аннотация: В данной лекции основное внимание уделяется компоненту Microsoft Outlook Web Access (OWA). Так как потребность в удаленном доступе к электронной почте за последнее время сильно увеличилась, OWA при-меняется все шире и шире. Если разбираться в том, какие преимущества и ограничения имеются в OWA, то будет намного легче планировать, реализовывать свои намерения и разрешать возникшие проблемы. В следующих разделах мы рассмотрим новые возможности OWA в Microsoft Exchange Server 2003, а также управление OWA и развертывание этой технологии
Ключевые слова: Unix, Windows, GAL, Outlook, множества, рабочий процесс, производительность, exchange, server, service pack, виртуальный сервер, certificate, 'richness', функции безопасности, anonymity, Kerberos, Active, directory, AND, доступ, system manager, ESMS, Internet, manager, ISM, sync, EXIF, виртуальная файловая система, FAT, FAT32, NTFS, storage system, сценарий, back-end, FE, post office protocol, IMAP, application protocol, NNTP, network news, CEP, load balancer, балансировка нагрузки, Виртуализация, media access control, NIC, имя узла, technical, overview, MSDN, recipient, доменная имя, кластеризация, имя группы, LDAP, контроллер доменов, сервер глобального каталога, изменение записей, automatic, IPsec, интерфейс, пользователь, представление, preview, pane, assistant, обмен сообщениями, сегментация, inbox, decimal, Calendar, contact, учетная запись пользователя, smtp, virtual
Возможности OWA
OWA предоставляет пользователям среду для доступа к хранилищу общих папок и к хранилищу почтовых ящиков с использованием браузера. С помощью OWA клиенты, базирующиеся на UNIX, Macintosh и Microsoft Windows, могут просматривать и работать с любой общей папкой, почтовым ящиком, глобальной адресной книгой (GAL) и календарем. (Для пользователей UNIX OWA является основным Outlook-решением для электронной почты, календаря и совместной работы.)
Среди множества улучшений, связанных с переходом, просмотром и рабочим процессом, влияющих на производительность и функциональность OWA в Exchange Server 2003, можно выделить следующие:
- две различных версии OWA;
- новая измененная страница входа;
- подтверждение, основанное на элементах cookie, в котором элемент cookie OWA становится недействительным после того, как пользователь выходит из системы или делается неактивным на указанный период времени;
- начиная с Microsoft Internet Explorer (IE) версии 6 с установленным пакетом Service Pack 1, после выхода пользователя кэш аутентифи-кационных данных очищается;
- улучшенный пользовательский интерфейс;
- настраиваемый пользователем размер окна, сохраняемый на период сессии OWA;
- панель предварительного просмотра располагается справа от сообщений и вложений, открываемых непосредственно в окне;
- для всех сообщений электронной почты предоставляется проверка орфографии;
- серверные правила поддержки электронной почты, создаваемые и управляемые пользователем.
Наряду с новыми возможностями OWA имеет некоторые ограничения. Следовательно, перед развертыванием OWA необходимо продумать, что вам не подходит.
- Автономная работа. Пользователь должен подключиться к серверу Exchange для просмотра информации.
- Нет доступа к автономным папкам. Нет синхронизации локальных автономных папок с папками на сервере.
Усовершенствование процесса входа и выхода из системы
Существует возможность включить новую страницу входа для OWA, которая сохраняет имя пользователя и пароль в элементе cookie, а не в браузере. Когда пользователь покидает свой сеанс OWA или бездействует в течение установленного времени, элемент cookie очищается. В любом случае пользователю нужно заново пройти аутентификацию, чтобы вновь использовать OWA. Обратите внимание, что сеансы не истекают в процессе создания сообщения.
Улучшение процесса входа не включено по умолчанию. Чтобы включить страницу входа, откройте свойства виртуального сервера HTTP и отметьте опцию Enable Forms Based Authentification For Outlook Web Access (Включить аутентификацию с помощью форм для Outlook Web Access). Обратите внимание, что перед использованием этой возможности необходимо настроить протокол защищенных сокетов SSL в компоненте Microsoft Internet Information Services (IIS).
Для настройки SSL необходимо либо установить службы сертификатов (Certificate Services) на Windows Server 2003 и сгенерировать сертификат для веб-сайта OWA, либо купить сертификат SSL у стороннего источника. После установки сертификата SSL и затребования SSL на вебсайте, на котором располагается OWA, появится новое окно входа (см. рис. 6.2).
Новый вход в систему имеет три особенности. Во-первых, пользователи не могут случайно отметить опцию Remember My Password (Запомнить пароль). Кроме того, при выходе пользователя из системы у него не остается способов доступа к своему почтовому ящику, пока он снова не пройдет аутентификацию. Наконец, в процессе входа в систему в скрытом кадре загружаются панели инструментов и рисунки OWA, помогающие пользователю осуществлять вход в систему.
Обратите внимание на то, что в процессе входа пользователь может выбрать один из интерфейсов: Rich (Расширенный) или Basic (Базовый). Расширенный интерфейс включает в себя все возможности OWA. Возможности базового интерфейса ограничены, он предназначен для пользователей, подключающихся через медленное WAN-соединение, которым нужны только основные функции OWA. Для пользователей с более скоростными соединениями предпочтительным является вариант Rich (Расширенный).
Как администратор вы можете настроить в реестре OWA параметры истечения срока действия. Следует подумать о таких вещах, как общий компьютер и доверенный компьютер. Общий компьютер - это компьютер, который является общедоступным, например, киоск в общей области, обеспечивающий работу OWA. Если выбран параметр Public, то временной интервал будет установлен равным 15 минут. Параметр срока истечения действия игнорируется указанием следующего ключа реестра серверной части.
Ключ: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWEB\OWA Параметр: PublicCUentTimeout Тип: REG_DW0RD Значение: <число минут>
В ключе задано 15-минутное значение параметра простоя по умолчанию; минимальное значение - 1 минута, максимальное - 43200 минут (30 дней).
Под доверенными компьютерами подразумеваются компьютеры, находящиеся внутри сети. Значением по умолчанию для этого параметра считается 1440 минут или 24 часа. Для изменения параметра используйте тот же ключ реестра, что и для общего компьютера, с той лишь разницей, что здесь нужен параметр TrustedClientTimeout. Минимальные и максимальные значения параметров PublicCUentTimeout и TrustedClientTimeout совпадают.
Необходимо иметь в виду некоторые вопросы, связанные с параметром простоя. Во-первых, параметр простоя, основывающийся на элементах cookie, не является абсолютным; он варьируется в диапазоне значение параметра - 1,5 х <параметр> . Если установлен период простоя, равный 10 минутам, то в действительности он варьируется от 10 до 15 минут (1,5 х 10 = 15). Так как параметр по умолчанию для доверенного компьютера равен 1440 минутам, то время простоя варьируется от 1440 до 2160 минут, или от 24 до 36 часов. Столь широкий диапазон может быть несовместимым с имеющимися в организации политиками безопасности. К сожалению, вам не остается ничего другого, кроме как уменьшить значение по умолчанию на доверенных компьютерах, если это действие предписывается установленными политиками информационной безопасности.
Второй момент, о котором следует помнить: значение параметра TrustedCUentTimeout не может быть меньше значения параметра PublicCUentTimeout. Даже при установке меньшего значения параметра доверенного компьютера Exchange 2003 автоматически уравняет оба значения. Автоматическое изменение конфигурации произойдет независимо от того, какое значение настроено некорректно. Поэтому при установке слишком маленького значения для доверенного компьютера или слишком высокого значения для общего компьютера все закончится тем, что оба значения уравняются.
В Exchange 2003 OWA реализована еще одна функция безопасности: по умолчанию пользователь не может изменять свой пароль. Если произведено обновление с Microsoft Exchange 2000 до Exchange 2003, параметр Exchange 2000, позволяющий пользователям изменять пароли, будет сохранен. Этот параметр настраивается в реестре сервера Exchange.
Ключ: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWEB\OWA Параметр: DisablePassword Тип: REG_DW0RD Значение: 0x0000001= пользователь не может изменить пароль, 0x00000000 = пользователь может изменить пароль
Безопасность трафика клиента Outlook Web Access
Чтобы защитить передачу сообщений между Exchange 2003 OWA и клиентом, необходимо задать способ аутентификации, а также требования к шифрованию и подписыванию клиентского трафика.
Аутентификация клиента осуществляется одним из трех способов: анонимная аутентификация (Anonymous), базовая аутентификация (Basic) и интегрированная аутентификация Windows (Integrated Windows). Вариант Anonymous (Анонимная) обеспечивает наименее безопасную схему аутентификации, предоставляя ограниченный доступ к определенным общим папкам и данным каталога. Анонимная аутентификация поддерживается всеми клиентами и является предпочти-тельным методом разрешения общего доступа к определенным общим папкам.
При базовой аутентификации от пользователя требуется ввести имя пользователя, имя домена и пароль. Имя пользователя и пароль передаются в открытом виде между сервером и клиентом, поэтому рекомендуется использовать SSL для их шифрования. Интегрированная аутентификация Windows (IWA) предназначена для клиентов с браузерами Internet Explorer 5 или более поздней версии. IWA используется Kerberos и обеспечивает наивысший уровень защищенности. При IWA пароль пользователя не передается по линии связи в открытом виде. Он шифруется, и даже в случае перехвата пакета злоумышленником последний не сможет узнать пароль. О том, каким разделе "Развертывание OWA".
