Работа Outlook, как клиента Microsoft Exchange Server, безусловно позволяет расширить и упростить действия пользователей рабочей группы по обмену информацией. Но что делать в случае, если участник группы находится вне сети предприятия, а доступ к данным необходим?
Microsoft Exchange Server предоставляет пользователю возможность доступа к своему почтовому ящику, к общим папкам группы и т. д. через Web-интерфейс — Outlook Web Access. Данная возможность аналогична сервису Hotmail (см. раздел 11.3 «Работа с Hotmail»). При этом пользователь имеет доступ не только к своей почте, но и к календарю, контактам, данные о которых берутся с сервера, тем самым пользователь работает с единой информацией как через Outlook, так и через Outlook Web Access.
Вход в Outlook Web Access
Для доступа к данным через Web-интерфейс пользователь должен знать URL-адрес сервера, на котором располагается Outlook Web Access, и, естественно, быть зарегистрированным участником рабочей группы Exchange.
Is Outlook Web App Better Than Desktop App?
Пример 13.19. Доступ через Outlook Web Access
После того как пользователь выполнил успешный вход, будет загружена основная страница, посредством которой можно создавать сообщения, просматривать календарь и адреса рабочей группы, а также осуществлять доступ к общим папкам. Работа с каждой из возможностей интуитивно понятна, а пользователям Outlook просто очевидна. Здесь, как и в Outlook, существует панель ярлыков, посредством которой можно осуществлять доступ к ин формации (слева), меню, посредством которого можно выполнять необходимые действия (вверху), и панель просмотра информации, отображающая данные.
Для обновления информации, отображаемой на странице, необходимо нажать кнопку Обновить (Refresh) на панели инструментов браузера:
Для отображения информации, не помещающейся на странице, можно воспользоваться гиперссылкой Page, расположенной вверху справа на панели меню. Как правило, это необходимо для пролистывания электронных сообщений пользователя.
После того как сеанс работы с Outlook Web Access завершен, для корректного выхода из системы и завершения работы необходимо щелкнуть по гиперссылке Log Of внизу панели Outlook. Эту же процедуру следует проделать, если вы хотите зайти в систему под другим именем.
Отправка сообщения через Outlook Web Access
Не будем здесь подробно рассматривать работу с Outlook Web Access, надеемся, что она понятна и не вызовет особых затруднений, тем более что интерфейс Outlook Web Access не многим отличается от Outlook, а принципы работы различны лишь с точки зрения загрузки и отображения информации. Но для примера все-таки рассмотрим создание и отправку электронного сообщения через Outlook Web Access.
Пример 13.20. Отправка сообщения через Outlook Web Access
Compose New Mail Message
Add Attachment Now
Tell me when this message has been delivered
Tell me when this message has been read
Как видите, основная функциональность сохранена и сообщение отправлено. Аналогично описанной программе следует поступать и с созданием встреч и контактов посредством Outlook Web Access.
How to access Outlook via web browser
Источник: www.taurion.ru
Поддержка Outlook Web Access
Аннотация: В данной лекции основное внимание уделяется компоненту Microsoft Outlook Web Access (OWA). Так как потребность в удаленном доступе к электронной почте за последнее время сильно увеличилась, OWA при-меняется все шире и шире. Если разбираться в том, какие преимущества и ограничения имеются в OWA, то будет намного легче планировать, реализовывать свои намерения и разрешать возникшие проблемы. В следующих разделах мы рассмотрим новые возможности OWA в Microsoft Exchange Server 2003, а также управление OWA и развертывание этой технологии
Возможности OWA
OWA предоставляет пользователям среду для доступа к хранилищу общих папок и к хранилищу почтовых ящиков с использованием браузера. С помощью OWA клиенты, базирующиеся на UNIX , Macintosh и Microsoft Windows , могут просматривать и работать с любой общей папкой, почтовым ящиком, глобальной адресной книгой ( GAL ) и календарем. (Для пользователей UNIX OWA является основным Outlook -решением для электронной почты, календаря и совместной работы.)
Среди множества улучшений, связанных с переходом, просмотром и рабочим процессом , влияющих на производительность и функциональность OWA в Exchange Server 2003, можно выделить следующие:
- две различных версии OWA;
- новая измененная страница входа;
- подтверждение, основанное на элементах cookie, в котором элемент cookie OWA становится недействительным после того, как пользователь выходит из системы или делается неактивным на указанный период времени;
- начиная с Microsoft Internet Explorer (IE) версии 6 с установленным пакетом Service Pack 1, после выхода пользователя кэш аутентифи-кационных данных очищается;
- улучшенный пользовательский интерфейс;
- настраиваемый пользователем размер окна, сохраняемый на период сессии OWA;
- панель предварительного просмотра располагается справа от сообщений и вложений, открываемых непосредственно в окне;
- для всех сообщений электронной почты предоставляется проверка орфографии;
- серверные правила поддержки электронной почты, создаваемые и управляемые пользователем.
Наряду с новыми возможностями OWA имеет некоторые ограничения. Следовательно, перед развертыванием OWA необходимо продумать, что вам не подходит.
- Автономная работа. Пользователь должен подключиться к серверу Exchange для просмотра информации.
- Нет доступа к автономным папкам. Нет синхронизации локальных автономных папок с папками на сервере.
Усовершенствование процесса входа и выхода из системы
Существует возможность включить новую страницу входа для OWA, которая сохраняет имя пользователя и пароль в элементе cookie, а не в браузере. Когда пользователь покидает свой сеанс OWA или бездействует в течение установленного времени, элемент cookie очищается. В любом случае пользователю нужно заново пройти аутентификацию, чтобы вновь использовать OWA. Обратите внимание, что сеансы не истекают в процессе создания сообщения.
Улучшение процесса входа не включено по умолчанию. Чтобы включить страницу входа, откройте свойства виртуального сервера HTTP и отметьте опцию Enable Forms Based Authentification For Outlook Web Access (Включить аутентификацию с помощью форм для Outlook Web Access). Обратите внимание, что перед использованием этой возможности необходимо настроить протокол защищенных сокетов SSL в компоненте Microsoft Internet Information Services (IIS).
Для настройки SSL необходимо либо установить службы сертификатов ( Certificate Services) на Windows Server 2003 и сгенерировать сертификат для веб-сайта OWA, либо купить сертификат SSL у стороннего источника. После установки сертификата SSL и затребования SSL на вебсайте, на котором располагается OWA, появится новое окно входа (см. рис. 6.2).
Новый вход в систему имеет три особенности. Во-первых, пользователи не могут случайно отметить опцию Remember My Password (Запомнить пароль). Кроме того, при выходе пользователя из системы у него не остается способов доступа к своему почтовому ящику, пока он снова не пройдет аутентификацию. Наконец, в процессе входа в систему в скрытом кадре загружаются панели инструментов и рисунки OWA, помогающие пользователю осуществлять вход в систему.
Рис. 6.1. Включение аутентификации при входе
Рис. 6.2. Окно входа Exchange 2003 OWA
Обратите внимание на то, что в процессе входа пользователь может выбрать один из интерфейсов: Rich (Расширенный) или Basic (Базовый). Расширенный интерфейс включает в себя все возможности OWA. Возможности базового интерфейса ограничены, он предназначен для пользователей, подключающихся через медленное WAN-соединение, которым нужны только основные функции OWA. Для пользователей с более скоростными соединениями предпочтительным является вариант Rich (Расширенный).
Как администратор вы можете настроить в реестре OWA параметры истечения срока действия. Следует подумать о таких вещах, как общий компьютер и доверенный компьютер. Общий компьютер — это компьютер, который является общедоступным, например, киоск в общей области, обеспечивающий работу OWA. Если выбран параметр Public, то временной интервал будет установлен равным 15 минут. Параметр срока истечения действия игнорируется указанием следующего ключа реестра серверной части.
Ключ: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeWEBOWA Параметр: PublicCUentTimeout Тип: REG_DW0RD Значение:
В ключе задано 15-минутное значение параметра простоя по умолчанию; минимальное значение — 1 минута, максимальное — 43200 минут (30 дней).
Под доверенными компьютерами подразумеваются компьютеры, находящиеся внутри сети. Значением по умолчанию для этого параметра считается 1440 минут или 24 часа. Для изменения параметра используйте тот же ключ реестра, что и для общего компьютера, с той лишь разницей, что здесь нужен параметр TrustedClientTimeout. Минимальные и максимальные значения параметров PublicCUentTimeout и TrustedClientTimeout совпадают.
Необходимо иметь в виду некоторые вопросы, связанные с параметром простоя. Во-первых, параметр простоя, основывающийся на элементах cookie, не является абсолютным; он варьируется в диапазоне значение параметра — 1,5 х . Если установлен период простоя, равный 10 минутам, то в действительности он варьируется от 10 до 15 минут (1,5 х 10 = 15). Так как параметр по умолчанию для доверенного компьютера равен 1440 минутам, то время простоя варьируется от 1440 до 2160 минут, или от 24 до 36 часов. Столь широкий диапазон может быть несовместимым с имеющимися в организации политиками безопасности. К сожалению, вам не остается ничего другого, кроме как уменьшить значение по умолчанию на доверенных компьютерах, если это действие предписывается установленными политиками информационной безопасности.
Второй момент, о котором следует помнить: значение параметра TrustedCUentTimeout не может быть меньше значения параметра PublicCUentTimeout. Даже при установке меньшего значения параметра доверенного компьютера Exchange 2003 автоматически уравняет оба значения. Автоматическое изменение конфигурации произойдет независимо от того, какое значение настроено некорректно. Поэтому при установке слишком маленького значения для доверенного компьютера или слишком высокого значения для общего компьютера все закончится тем, что оба значения уравняются.
В Exchange 2003 OWA реализована еще одна функция безопасности : по умолчанию пользователь не может изменять свой пароль. Если произведено обновление с Microsoft Exchange 2000 до Exchange 2003, параметр Exchange 2000, позволяющий пользователям изменять пароли, будет сохранен. Этот параметр настраивается в реестре сервера Exchange.
Ключ: HKEY_LOCAL_MACHINESystemCurrentControlSetServicesMSExchangeWEBOWA Параметр: DisablePassword Тип: REG_DW0RD Значение: 0x0000001= пользователь не может изменить пароль, 0x00000000 = пользователь может изменить пароль
Безопасность трафика клиента Outlook Web Access
Чтобы защитить передачу сообщений между Exchange 2003 OWA и клиентом, необходимо задать способ аутентификации, а также требования к шифрованию и подписыванию клиентского трафика.
Аутентификация клиента осуществляется одним из трех способов: анонимная аутентификация ( Anonymous ), базовая аутентификация (Basic) и интегрированная аутентификация Windows (Integrated Windows). Вариант Anonymous (Анонимная) обеспечивает наименее безопасную схему аутентификации, предоставляя ограниченный доступ к определенным общим папкам и данным каталога. Анонимная аутентификация поддерживается всеми клиентами и является предпочти-тельным методом разрешения общего доступа к определенным общим папкам.
При базовой аутентификации от пользователя требуется ввести имя пользователя, имя домена и пароль. Имя пользователя и пароль передаются в открытом виде между сервером и клиентом, поэтому рекомендуется использовать SSL для их шифрования. Интегрированная аутентификация Windows (IWA) предназначена для клиентов с браузерами Internet Explorer 5 или более поздней версии.
IWA используется Kerberos и обеспечивает наивысший уровень защищенности. При IWA пароль пользователя не передается по линии связи в открытом виде. Он шифруется, и даже в случае перехвата пакета злоумышленником последний не сможет узнать пароль. О том, каким разделе «Развертывание OWA».
Источник: intuit.ru
Доступ к файлам с помощью OWA
Многие предприятия используют Outlook Web Access (OWA) исключительно для работы с электронной почтой вне офиса. Но OWA, особенно в сочетании с Service Pack 1 для Exchange Server 2007, предоставляет более широкие возможности. В статье рассматриваются новые функции OWA, в частности, доступ к файлам через сеть Internet, и даются рекомендации администратору в отношении соответствующих настроек
Exchange Server 2007 значительно улучшен по сравнению с Exchange Server 2003. Microsoft основательно поработала и над Outlook Web Access. Администрирова-ние OWA в Exchange Server 2007 стало гораздо удобнее. Все настройки интегрированы в управляющую консоль и оболочку управления Exchange.
Для настройки OWA уже не требуется никаких дополнительных инструментов или управляющих программ информационных служб Internet (Internet Information Services, IIS). Пользователи могут самостоятельно настраивать интерфейс в соответствии со своими предпочтениями.
По внешнему виду Outlook Web Access все больше напоминает Outlook, то же самое можно сказать и о функциональности. В OWA появилась поддержка правой кнопки мыши, что позволило существенно облегчить управление, которое теперь сопоставимо с обычной работой за компьютером. OWA в Exchange 2003 использует язык, заданный в браузере, а это затрудняет работу в заграничных командировках. В Exchange Server 2007 можно устанавливать параметры языка независимо от браузера.
При скачивании вложений улучшено сжатие Gzip, и объем передаваемых данных оказывается существенно меньше. Тем самым, Microsoft учла, что иногда внешним сотрудникам требуются не только электронные письма, но и эффективный доступ к другим данным. OWA в Exchange Server 2007 впервые дает возможность получать файлы с серверов файлов или SharePoint, а также читать документы, даже если нужная программа не установлена на рабочем компьютере: OWA передает аутентификационные данные текущего пользователя серверам файлов, защищая ее посредством шифрования SSL, т.е. выступает в качестве обратного посредника (Reverse Proxy). В результате доступ для чтения предоставляется к любым сетевым путям. Из соображений безопасности эту функцию можно деактивировать или включить лишь для некоторых пользователей.
ТЕХНИЧЕСКИЕ НОВШЕСТВА В OUTLOOK WEB ACCESS
В отличие от Exchange 2000/2003, OWA в Exchange Server 2007 выводит отображаемые данные через ASP.Net (Active Server Pages — «активные серверные страницы») на серверах клиентского доступа (Client Access Server, CAS). Это разгружает и без того активно используемый почтовый сервер и приводит к повышению производительности. Exchange Server 2007 уменьшает трафик данных, связанных с OWA, за счет того, что внешний сервер (Front-End Server) вызывает данные с почтового сервера при помощи удаленного вызова процедур (Remote Procedure Call, RPC) — аналогично Outlook.
На выбор предлагаются две различные версии OWA: стандартная/базовая версия и премиум-версия (Rich Experience). Те, кто предпочтет расширенный вариант OWA, должны устанавливать соединение с сервером через Internet Explorer версии не ниже 5 (а лучше — версии 6 или 7). Другие браузеры — Netscape, Firefox или Opera — могут работать лишь со стандартной версией OWA.
Последняя, поддерживая значительно меньше функций по сравнению с премиум-версией, загружается быстрее. Однако лишь в премиум-версии есть поддержка полного набора функций, включая автоматическое удаление всех файлов Cookie, содержащих пользовательские данные, после завершения сеанса. Просмотр электронных писем очень похож на то, как это сделано в Outlook. Кроме того, пользователи могут маркировать электронные письма как «прочитанные» и «непрочитанные», что особенно полезно для опытных пользователей. Еще одна полезная функция — возможность отмечать сообщения для их последующего отслеживания.
Лишь в расширенной версии OWA поддерживается шифрование электронных писем с помощью стандарта S/MIME. Чтобы получить доступ к странице Web OWA, необходимо ввести в адресной строке браузера следующий текст: https:// /owa.
В Exchange Server 2007 шифрование SSL для OWA активировано по умолчанию, для чего сервер применяет собственный сертификат, который, впрочем, не расценивается как «вызывающий доверие», поэтому для рабочих сред он малополезен. Кроме того, по умолчанию активирована страница регистрации OWA. Аутентификация больше не осуществляется с помощью стандартного диалога Windows. OWA автоматически завершается, если в течение определенного времени никаких действий не производится: в зависимости от информации пользователя о том, работает ли он за общедоступным компьютером или личным, стандартные значения составляют 15 минут или 8 часов.
Exchange Server 2007 предусматривает возможность совместной работы CAS и внутренних серверов (Back-end) Exchange Sever 2000/2003: в этом случае сервер клиентского доступа выполняет роль внешнего сервера Exchange Server 2000/2003. Правда, для улучшения взаимодействия серверов Microsoft настоятельно рекомендует установить Exchange Server 2007. По умолчанию доступ OWA активирован для всех пользователей. Системные администраторы могут активировать или деактивировать эту функцию в консоли управления Exchange в свойствах пользовательских учетных записей на вкладке «Свойства почтового ящика». Управление учетными записями осуществляется в разделе «Настройка получателя/почтовый ящик».
SERVICE PACK 1 ДЛЯ EXCHANGE SERVER 2007
Service Pack 1 предоставляет пользователям OWA поддержку личных списков рассылки, а также доступ к общим папкам без необходимости выхода из почтового ящика. Гораздо лучше поддерживаются правила и редакторы для ассистентов. Можно настраивать имеющиеся правила приема почты или создать новые.
Все правила, созданные в OWA, находятся на сервере, поэтому они будут доступны даже при соединении через Outlook. Пользователи могут создавать формуляры и записи для своих адресных книжек, а также восстанавливать удаленные электронные письма, обращаясь к корзине сервера напрямую через OWA. Помощь администратора теперь не требуется, что приводит к заметному снижению нагрузки на отдел ИТ. Вид календаря также можно настраивать: к примеру, активировать отображение по месяцам, в то время как в прежней версии предлагалось отображать только по неделям или дням.
ДОСТУП К ВЛОЖЕННЫМ ФАЙЛАМ
При доступе через Outlook Web Access осуществляется разграничение общедоступных и личных компьютеров. Регистрируясь в OWA, пользователи могут выбрать тип компьютера, с которого они соединяются со своим почтовым ящиком (см. Рисунок 1), а системный администратор заранее определяет, к каким вложенным данным разрешен доступ в каждом случае (см. Рисунок 2). К примеру, для тех сотрудников, кто подключился к сети, находясь в Internet-кафе, можно запретить работу с таблицами Excel, содержащими конфиденциальные корпоративные данные.
По умолчанию Exchange Server 2007 разрешает доступ ко всем типам вложений со всех компьютеров, поэтому необходимые настройки рекомендуется произвести как можно скорее после внедрения Exchange Server 2007. Для этого в консоли управления Exchange имеется несколько разделов, а соответствующие настройки находятся в разделе «Свойства» виртуального каталога «OWA» на вкладке «Настройка сервера/доступ клиентов». Там представлены различные опции для разных типов компьютеров. Вкладка «Установить доступ к данным с личных компьютеров» предназначается для настроек «личных компьютеров», которые пользователи могут выбрать при регистрации
в OWA. Возможности конфигурации на этой вкладке идентичны настройкам вкладки «Доступ к данным с общественных компьютеров», ограничивающей доступ с незащищенных компьютеров.
Доступ возможен как к известным, так и к неизвестным типам файлов. По умолчанию для незнакомых файлов включена опция «принудительное сохранение». При деактивации настройки «Активировать прямой доступ к данным» Exchange Server блокирует доступ к любым вложенным файлам. После нажатия на кнопку «настроить» можно указать, какие вложения OWA будет блокировать, а к каким доступ пользователей разрешен (см. Рисунок 3):
разрешить — пользователи получают неограниченный доступ к этому типу файлов;
блокировать — Exchange блокирует вложенный файл, но пользователи могут прочитать текст электронного письма;
принудительное сохранение — файл можно открыть только после его сохранения на клиентском компьютере.
Функцию просмотра документов в режиме Web (Webready Document Viewing) можно активировать или деактивировать здесь же, во вкладках «Доступ к данным с личных компьютеров» и «Доступ к данным с общественных компьютеров». C помощью кнопки «Поддержка» системным администраторам предлагается настроить типы данных, для которых будет поддерживаться просмотр документов в режиме Web. По умолчанию эта функция активирована для всех типов файлов.
ДОСТУП К РАЗРЕШЕННЫМ ФАЙЛАМ И СЕРВЕРАМ SHAREPOINT
Новая функция в OWA — возможность доступа для чтения к разрешенным данным и серверам SharePoint. Для этого появилась новая кнопка «документы», при нажатии на которую OWA отображает все связанные разрешенные разделы (при наличии соответствующих полномочий). Через ссылку «Открыть путь» можно ввести имя разрешенного раздела в соответствии с правилами универсального соглашения об именовании (Uniform Naming Convention, UNC).
Если сохранить имя файла в избранном, дальнейший доступ к нему ускорится. Доступ к разрешенным разделам серверов файлов и к серверам SharePoint настраивается параллельно с функцией просмотра документов в режиме Web. Если такой просмотр предназначается для чтения вложений электронных писем, то задачей удаленного доступа является доступ к определенным файлам. Эта функция активирована по умолчанию, поэтому системным администраторам нужно настроить ее сразу после внедрения Exchange Server 2007, чтобы избежать кражи данных или их нецелевого использования. Впрочем, сама по себе она особой опасности не представляет, поскольку серверы закрыты для несанкционированных пользователей.
Настройка указанной функции опять-таки производится в разделе «Свойства» виртуального каталога OWA в консоли управления Exchange (см. Рисунок 4). Здесь тоже проводится различие между доступом с общественных и личных компьютеров. Опции для общей активации или деактивации доступа к данным находятся на тех же вкладках, что и параметры просмотра документов в режиме Web.
Доступ к серверам данных и серверам SharePoint можно настраивать отдельно. Во вкладке «Удаленные серверы файлов» следует указать, какие именно серверы будут открыты для пользователей.
Для серверов (но не отдельных данных) можно создавать разрешительные и запретительные списки, а кроме того, установить, как поступать при обращении к серверу, не включенному ни в один из списков. Все серверы, находящиеся в запретительном списке, недоступны через OWA, тогда как серверы из разрешительного списка предоставляют файлы.
По умолчанию Exchange блокирует все серверы, не входящие ни в один из списков. Благодаря этим опциям, предприятия могут четко указать пользователям, откуда и какие серверы с определенными типами данных будут им доступны. При вызове кнопки «Настроить» открывается новое окно, содержащее доменные имена серверов SharePoint, к которым у пользователей есть допуск. Данный раздел особенно полезен в случае применения вложенных доменов, поскольку позволяет получить список доступных серверов SharePoint.
ПРЕДОСТАВЛЕНИЕ OWA C ISA 2006
Outlook Web Access можно удобно и безопасно публиковать в Internet с помощью сервера Internet Security and Acceleration (ISA). Идеальный вариант предусматривает шифрование SSL, сервер клиентского доступа и собственный центр сертификации. ISA Server 2006 содержит ряд улучшений в области публикации серверов вообще и серверов Web в частности, а также несколько новых и расширенных механизмов аутентификации. ISA 2006 автоматически реализует функцию распределения нагрузки Web при публикации OWA.
При помощи технологии мостов SSL (SSL-to-SSL-Bridging) ISA Server 2006 обеспечивает сквозную защиту (End-to-End) и фильтрацию на уровне приложений, предоставляя аутентифицированный и зашифрованный клиентский доступ. Для этого сервер исследует зашифрованные данные, прежде чем они достигнут сервера Exchange.
Сервер ISA 2006 расшифровывает поток SSL, производит проверку его состояния, повторно зашифровывает данные и передает их серверу Exchange. При публикации через ISA клиент в сети Internet и сервер ISA формируют туннель SSL. Еще один туннель SSL, находящийся между сервером ISA и сервером Exchange, дополнительно защищает соединение. Эта технология применения двух разных туннелей SSL именуется мостом SSL. Она обеспечивает стабильное и надежное предоставление электронных писем, а также доступ к серверам данных и SharePoint.
Томас Йоос — независимый профессиональный консультант по ИТ. Он консультирует средние и крупные предприятия по вопросам построения сетей Microsoft, Active Directory, Exchange Server и безопасности ИТ.
Источник: www.osp.ru