התחברחיפושהרשםרשימת חבריםFAQקבוצות משתמשיםאינדקס

Share | 
 

 המדריך המלא להגדרת Outlook anywhere בסביבת EXCHAGE 2010

צפה בנושא הקודם צפה בנושא הבא Go down 
מחברהודעה
Admin
Admin
avatar

מספר הודעות : 137
Join date : 05.06.09

הודעהנושא: המדריך המלא להגדרת Outlook anywhere בסביבת EXCHAGE 2010   Fri 23 Sep 2011, 03:59

המדריך המלא להגדרת Outlook anywhere בסביבת EXCHAGE 2010


מאת חיים לזרוביץ



להגדלת התמונות יש ללחוץ על התמונה שברצונך להגדיל


במאמר הבא אדגים כיצד להגדיר outlook anywhere הכולל הנפקת תעודה עבור שרת דואר 2010, ע"י CA מקומי.
(כאשר ה CA הינו של מיקרוסופט), במאמר זה גם אראה כיצד לחדש את התעודה לאחר פג תוקפה.
אגדיר את התעודה גם לחיבורים של ActiveSync ,OWA.

החיבור מצפין את הנתונים בין תוכנת הקליינט (אוטלוק לצורך העניין) לבין שרת הדואר, התחנות עובדות מול שרת הדואר בפרוטוקול https.

המאמר יחולק לשלושה חלקים:

1. הגדרת Outlook Anywhere והנפקת תעודה.
2. חידוש תעודה כאשר פג תוקפה.
3. הגדרות מתקדמות מצד הקליינט הכוללים קיסטום באמצעות GPO (לא חובה).

במאמר זה אחשוף פרטים לגבי תעודה ונתונים של תעודה פרטית (private key) במחשבי הפרטי – התעודה נוצרה לצורך מעבדה בלבד ואין לי כל בעיה לחשוף נתונים אלו במחשבי הפרטי, איני ממליץ לחשוף פרטי תעודות ארגוניות הכוללים מידע של מפתחות פרטיות וקובץ REQ שנוצר ע"י מחשב זה או אחר, אלא אך ורק למנפיק התעודה / לגורם המוסמך שבו אנו מאמינים וסומכים שינפיק לנו קובץ תעודה.

במאמר הבא, שרת התעודות (CA) וה CRL מותקן על שרת DC, זאת לצורך המעבדה בלבד, איני ממליץ כלל להתקין את הרכיבים הללו על שרת DCאלא על שרת ייעודי אחר בארגון ומומלץ להפריד את שירות ה CRL משרת ה CA לצרכי אבטחה.

הגדרת OUTLOOK ANYWHRE והנפקדת תעודה:

 

ראשית יש להתקין את ה Feature שנקרא: RPC Over HTTP Proxy על שרת ה CAS:

באמצעות ה Server Manager יש לגשת ל Features ולסמן את האופציה RPC Over HTTP Proxy

1a

להלן רכיבי ה- IIS שיותקנו כתנאי מוקדם להתקנת ה HTTP Proxy, יש ללחוץ על Add Required Role Services:

1b 

תהליך ההתקנה:

1g

סיום ההתקנה, יש ללחוץ על Close.

1h


הפעלת האופציה של Outlook Anywhere בשרת ה EXCHANGE תחת השרת שמחזיק את ה ROLE של ה CAS,
יש לגשת ל Server Configuration –> Clent Access, קליק ימני על שרת הדואר ולאחר מכן Enable Outlook Anywhere…

1

יש לכתוב את השם (המלא) שאליו יגשו מחוץ לארגון אם באמצעות VPN או בכל דרך שהיא, מומלץ ורצוי לתת את שם ה FQDN הכולל את שם השרת ואת שם ה DNS NAME, כדוגמא שם שרת haim-exch2010 שם ה DNS NAME הינו haim.home כלומר haim-exch2010.haim.home.
נשתמש באימות בסיסי basic authentication, ללחוץ על Enable:

2

ללחוץ על Finish, יש לשים לב שניתן לבצע את הפעולות גם באמצעות ה EMS, בחלון הבא מופיע הפקודה כפי שהוא ב EMS:

3


כעת ניצור את התעודה עבור החיבורים.
ניגש ל Server Configuration ולאחר מכן קליק ימני New Exchage Certificate:

4 

נגדיר שם לתעודה, מומלץ ורצוי לתת את שם ה FQDN של השרת:

5

איני משתמש ב wildcard (כוכביות) על מנת לא לפתוח סקופ רחב יותר.

6

להלן האופציות להגדרה, אנו נגדיר Outlook Web App, ActiveSync, Outlook Anywhere.

7

נגדיר את התעודה לשירותי Outlook Anywhere:
ניתן לעבוד עם פרוקסי שהוא haim-exch2010, haim-exch2010.haim.home – שימו לב תעודה שמקבלת כמה שמות (SAN).
הגדרתי את התעודה גם לשירותי AutoDiscover לכניסה מבחוץ (בחרתי Long URL)

8 

נגדיר את התעודה עבור Outlook Web App מבפנים ומבחוץ, כתבתי את שם ה FQDN של השרת ל 2 האופציות.

8a

אותה הגדרה בחרתי גם לחיבור באמצעות ACtiveSync (עבור סינכרון מכשירי סלולר התומכים בתצורה זו)

8b

בחרתי את ה FQDN כ Common Name:

9

ניתן למלא שדות התעודה, שדות אלו ממן ת"ז שמוטבעים על התעודה.

10

יש לייצא את פרטי התעודה לקובץ Req עבור הנפקת הקובץ בשרת ה CA וקבלת מפתח ציבורי ופרטי:

11

ניתן לראות את מסלול קובץ ה Req מטה, ניתן לייצא לכל נתיב שהוא, לאחר מכן ללחוץ על Next

12

לחיצה על New להשלמת תהליך יצירת התעודה.

13

פעולת יצוא הקובץ הושלמה.

כעת נשארו 3 שלבים לסיום ההנפקה ויצירת השירותים עבור התעודה

* שליחת קובץ ה Req שיצרנו ל CA שעליו אנו סומכים ומאמינים על מנת שינפיק תעודה.
* המשך תהליך הנפקת התעודה ע"י ייבוא קובץ ה CER.
* הוספת שירותים לתעודה

14

במידה ובארגון שלנו קיים שירות CA אנו ננפיק בעצמנו את התעודה בעזרת קובץ ה Req שנוצר בשלב הקודם:

ניתן להיכנס לשרת ה CA באמצעות הכתובת: http://CA-SERVER/CERTSRV כאשר ה CA-SERVER הינו שרת התעודות (CA):
יש להקיש משתמש אשר מורשה לגשת ל TEMPLATES של שרת ה CA (הרשאת NTFS על אותו TEMPLATE) , אנו נשתמש
ב TEMPLATE של Web Server .

שלב 1 – יצירת קובץ ה CER ע"י שרת CA.

15

ללחוץ על Requset Certificate

16

ללחוץ על advanced certificate request

17

נבחר באופציה השניה

Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file

18

נפתח את קובץ ה-Req שיצרנו קודם

19

נבחר לפתוח באמצעות Notepad

20

יש להעתיק את כל תוכן קובץ ה-Req

21

יש להדביק את תוכן הקובץ לתוך ה Saved Request :

22

כעת ניתן להוריד את התעודה, אנו נבחר ב Base 64 Encoded:

23

כעת נשמור את התעודה בנתיב כלשהו

24

בחרתי לשמור באותו נתיב שבו יצרנו את הבקשה (לא חייב) – למען הסדר הטוב.

שלב 2 – ייבוא תעודת ה CER בממשק ה EXCHANGE.

25

בשרת הדואר נייבא את התעודה תחת Exchange Certificates ב Server Configuration.
אנו נלחץ קליק ימני על הבקשה שנוצרה בשלבים שבו יצרנו את קובץ ה Req ולאחר מכן Complete Pending Request:

26

יש לנתב לקובץ ה CER שנוצר ע"י שרת ה CA:

27

להלן הנתיב:

28

בחירת הקובץ

29

לחיצה על Finish לסיום הפעולה.

30


שלב 3 – הוספת שירותים לתעודה

בחלון ה Server Configuration בשרת הדואר, קליק ימני על התעודה שנוצרה ולאחר מכן Assign Services to Certificate.

31

להלן שרת ה CAS, יש ללחוץ על Next:

32

נבחר את האופציה של Internet Information Services (IIS) ונלחץ על NEXT.

33

בחלון הבא מוצג ה Thumbprint של התעודה, מיד נוודא שאכן מדובר על התעודה שיצרנו לפי Thumbprint. ׁ
בתעודה הספציפית הזאת, המספר מתחיל ב FF50 ומסתיים ב D19F, כמובן שהמספר שונה מתעודה לתעודה.
ללחוץ על Assign.

34

לחיצה על Finish

35

נלחץ פעמיים על התעודה שנוצרה – חשוב מאוד לוודא שנוצר PRIVATE KEY – ניתן לבדוק מטה היכן שיש אייקון של מפתח !!
במידה ואין מפתח פרטי, יש לחזור על הפעולות או לעבוד עם הפקודה certutil -repairstore my "SerialNumber לשחזור המפתח פרטי כאשר ה SerialNumber הינו המס' הסידורי של התעודה.

36

נוצרה תעודת SAN הכוללת בתוכה כמה שמות (כפי שראינו בזמן יצירת התעודה נוצרו 3 שמות) - Subject Alternative name

37

ה Thumbprint מורכב מהמפתח מטה שמתחיל ב FF50 ומסתיים ב D19F

כאן הסתיים השלב השלישי והסופי של הנפקת התעודה והוספת שירותים לתעודה.

38



חידוש תעודה כאשר פג תוקפה

קליק ימני על התעודה שיש להאריך את תוקפה ולאחר מכן Renew Exchange Certificate

39

יש ליצור קובץ Req להנפקה.

40

יצירת קובץ ה Req – ללחוץ על Finish

41

בעת פתיחת קובץ ה Req נוצרה בעיה בפתיחת הקובץ, התוכן הוצג כג'יבריש.

41a

עלינו לקודד זאת ל base 64 ע"י הפקודה certutil –encode old.req new64.req
כאשר ה old.req הינו הקובץ שנוצר קודם, כאשר new64.req הינו הקובץ החדש שקודדנו בפורמט 64:

42

להלן קובץ ה Req לאחר שעבר קידוד ל 64.

43

לאחר מכן ניכנס לשרת ה CA ונדביק לתוך ה Saved Request את תוכן הקובץ שנוצר:

כניסה לשרת ה CA:

clip_image001

ללחוץ על Requset Certificate

clip_image002[4]

ללחוץ על advanced certificate request

clip_image003

נבחר באופציה השניה

Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file

clip_image004[5]

נפתח את הקובץ ה-Req שיצרנו קודם

clip_image005

נבחר לפתוח באמצעות Notepad

clip_image006[4]


יש להעתיק את כל תוכן הקובץ ה-Req

43 
 
יש להדביק את תוכן הקובץ לתוך ה Saved Request :

44


כעת ניתן להוריד את התעודה, אנו נבחר ב Base 64 Encoded:

45


כעת נשמור את התעודה בנתיב כלשהו

46

כעת נשמור את הקובץ שיצרנו בנתיב כלשהו

47

בשרת הדואר נייבא את התעודה תחת Exchange Certificates ב Server Configuration.
אנו נלחץ קליק ימני על הבקשה שנוצרה בשלבים שבו יצרנו את קובץ ה Req ולאחר מכן Complete Pending Request:

48

יש לנתב לקובץ ה CER שנוצר ע"י שרת ה CA:

49

לחיצה על Finish לסיום הפעולה.

50


בחלון ה Server Configuration בשרת הדואר, ללחוץ קליק ימני על התעודה שנוצרה ולאחר מכן Assign Services to Certificate.

51

להלן שרת ה CAS, יש ללחוץ על Next:

clip_image001[4]


נבחר את האופציה של Internet Information Services (IIS) ונלחץ על NEXT.

51a

בחלון הבא מוצג ה Thumbprint של התעודה, מיד נוודא שאכן מדובר על התעודה שיצרנו לפי Thumbprint. ׁ
בתעודה הספציפית הזאת, המספר מתחיל ב A42A ומסתיים ב 9F4D, כמובן שהמספר שונה מתעודה לתעודה.
ללחוץ על Assign.

52

נלחץ על Finish

53

ככה המסך נראה (שימו לב יש את התעודה הישנה והחדשה)

53a

נלחץ פעמיים על התעודה שנוצרה – חשוב מאוד לוודא שנוצר PRIVATE KEY – ניתן לבדוק מטה היכן שיש אייקון של מפתח !!
במידה ואין מפתח פרטי, יש לחזור על הפעולות או לעבוד עם הפקודה certutil -repairstore my "SerialNumber לשחזור המפתח פרטי כאשר ה SerialNumber הינו המס' הסידורי של התעודה.

54

ה Thumbprint מורכב מהמפתח מטה שמתחיל ב A42A ומסתיים ב 9F4D

55 

נוצרה תעודת SAN הכוללת בתוכה כמה שמות (כפי שראינו בזמן יצירת התעודה נוצרו 3 שמות) - Subject Alternative name

55a

בדיקת חיבור האוטלוק:

כעת נפתח את האוטלוק 2010 ונבדוק שאנו אכן מתחברים בפרוטוקול https:

אם אנו מעוניינים להגדיר תצורה זאת בתוך ה LAN , נצטרך להוסיף V בהגדרות החיבור באוטלוק:

לאחר פתיחת האוטלוק , הקליינט מזהה את השרת באמצעות ה AutoDiscover
אנו נלחץ על קבע באופן ידני כדי לקסטם את ההגדרה של ה rpc over https – בשלב הבא נבצע באצעות GPO. (הפעולה אינה חובה, אלא רק ברשתות LAN שבו אנו רוצים להטמיע את החיבור)

60

ללחוץ על הגדרות נוספות

61

כאן אנו רואים שה Autodiscover עשה לנו את מרבית העבודה בכך שהגדיר תצורה באמצעות http, הוא אינו מסמן את האופציה של להתחבר תחילה ב HTTP ברשתות מהירות, שימו לב שב LAN אתם עדיין עובדים שתצורה רגילה מול שרת הדואר/

62

ה Auto Discover לא מסמן את האופציה הבאה: "ברשתות מהירות, התחבר באמצעות HTTP תחילה ולאחר מכן באמצעות TCP/IP":
אנו נסמן אותה ב V ולאחר מכן נלחץ על אישור:

63

נסגור את החלון תוך לחיצה על OK ואישור.

64

לחיצה על סיום לסיום פעולת אשף הגדרת האוטלוק:

65

פתיחת האוטלוק

66

לחיצה על ctrl + על האייקון של האוטלוק שבשורתהמשימות, לאחר מכן נלחץ על "מצב חיבור"

67

פה אנו רואים שהחיבור הינו באמצעות HTTPS

68

 

הגדרות מתקדמות מצד הקליינט הכוללים קיסטום הגדרות באמצעות GPO (לא חובה).

חשוב להכיר 2 מאמרים שמדברים על הוספת ערכים חשובים ל ADM שמטפלים בהגדרות בתוך לשונית ה over https באוטלוק,
במאמר זה אתייחס רק למאמר עבור Outlook 2010, התצורה דומה לזה של 2007 מלבד העובדה שהערכים ב ADM ב 2007 מופיעים מתחת ל Administrative Template תחת Article 961112 Policy Settings.

להלן המאמרים:

Outlook Anywhere (RPC/HTTP) settings are unavailable in the Outlook 2010 Group Policy template

http://support.microsoft.com/kb/2426686

You cannot use Group Policy settings to configure Outlook Anywhere (RPC/HTTP) settings

http://support.microsoft.com/kb/961112


נייבא את ה ADM מהמאמר 2426686 לתוך ה Administrative Templates:

56

במסך הבא נוסיף את ה ADM כולל את ה ADM של האוטלוק עצמו:

57

ננווט ל:

User Cofiguration -> Policies -> Administravie Templates -> Classic Administravie Templates -> Microsoft Outlook 2010 -> Account Settings –> Exchange

נלחץ על RPC/HTTP Connection Flags:

58

להלן האופציות כולל ה FLAGS להגדרות בתוך הטאב של ה RPC / HTTP :

59

אנו נגדיר את כל ה FLAGS כלומר נסמן ב V את כל האופציות:

69 
להלן הגדרת ה Authentication – אנו נגדיר Basic Authentication

70

להלן ההגדרות באוטלוק, יש לשים לב שהאופציה של "התחבר אל Microsoft Exchange באמצעות HTTP מאופשרת ואינה זמינה להגדרה.
נלחץ על הגדות Proxy עבור Exchage…

71

יש לשים לב שכל האופציות אינן מאופשרות כולל אימות בסיסי שאותו גם הגדרנו.

72

אם ברצוננו לבטל את האופציה של Over Https יש להגדיר No Flags:

73

בהגדרות האוטלוק ניתן לבדוק שהאופציה בוטלה ולא ניתנת לעריכה.

74

חזרה למעלה Go down
צפה בפרופיל המשתמש http://mcitp.co.nr
 
המדריך המלא להגדרת Outlook anywhere בסביבת EXCHAGE 2010
צפה בנושא הקודם צפה בנושא הבא חזרה למעלה 
עמוד 1 מתוך 1

Permissions in this forum:אתה לא יכול להגיב לנושאים בפורום זה
MCITP Forum :: פורום ומדריכים ניהול רשתות :: Microsoft Exchange Mail Server-
קפוץ אל: