.

Exchange Server 2007 значительно улучшен по сравнению с Exchange Server 2003. Microsoft основательно поработала и над Outlook Web Access. Администрирова-ние OWA в Exchange Server 2007 стало гораздо удобнее. Все настройки интегрированы в управляющую консоль и оболочку управления Exchange. Для настройки OWA уже не требуется никаких дополнительных инструментов или управляющих программ информационных служб Internet (Internet Information Services, IIS). Пользователи могут самостоятельно настраивать интерфейс в соответствии со своими предпочтениями.

По внешнему виду Outlook Web Access все больше напоминает Outlook, то же самое можно сказать и о функциональности. В OWA появилась поддержка правой кнопки мыши, что позволило существенно облегчить управление, которое теперь сопоставимо с обычной работой за компьютером. OWA в Exchange 2003 использует язык, заданный в браузере, а это затрудняет работу в заграничных командировках. В Exchange Server 2007 можно устанавливать параметры языка независимо от браузера.

При скачивании вложений улучшено сжатие Gzip, и объем передаваемых данных оказывается существенно меньше. Тем самым, Microsoft учла, что иногда внешним сотрудникам требуются не только электронные письма, но и эффективный доступ к другим данным. OWA в Exchange Server 2007 впервые дает возможность получать файлы с серверов файлов или SharePoint, а также читать документы, даже если нужная программа не установлена на рабочем компьютере: OWA передает аутентификационные данные текущего пользователя серверам файлов, защищая ее посредством шифрования SSL, т.е. выступает в качестве обратного посредника (Reverse Proxy). В результате доступ для чтения предоставляется к любым сетевым путям. Из соображений безопасности эту функцию можно деактивировать или включить лишь для некоторых пользователей.

ТЕХНИЧЕСКИЕ НОВШЕСТВА В OUTLOOK WEB ACCESS

В отличие от Exchange 2000/2003, OWA в Exchange Server 2007 выводит отображаемые данные через ASP.Net (Active Server Pages — «активные серверные страницы») на серверах клиентского доступа (Client Access Server, CAS). Это разгружает и без того активно используемый почтовый сервер и приводит к повышению производительности. Exchange Server 2007 уменьшает трафик данных, связанных с OWA, за счет того, что внешний сервер (Front-End Server) вызывает данные с почтового сервера при помощи удаленного вызова процедур (Remote Procedure Call, RPC) — аналогично Outlook.

На выбор предлагаются две различные версии OWA: стандартная/базовая версия и премиум-версия (Rich Experience). Те, кто предпочтет расширенный вариант OWA, должны устанавливать соединение с сервером через Internet Explorer версии не ниже 5 (а лучше — версии 6 или 7). Другие браузеры — Netscape, Firefox или Opera — могут работать лишь со стандартной версией OWA. Последняя, поддерживая значительно меньше функций по сравнению с премиум-версией, загружается быстрее. Однако лишь в премиум-версии есть поддержка полного набора функций, включая автоматическое удаление всех файлов Cookie, содержащих пользовательские данные, после завершения сеанса. Просмотр электронных писем очень похож на то, как это сделано в Outlook. Кроме того, пользователи могут маркировать электронные письма как «прочитанные» и «непрочитанные», что особенно полезно для опытных пользователей. Еще одна полезная функция — возможность отмечать сообщения для их последующего отслеживания.

Лишь в расширенной версии OWA поддерживается шифрование электронных писем с помощью стандарта S/MIME. Чтобы получить доступ к странице Web OWA, необходимо ввести в адресной строке браузера следующий текст: https://<имя_сервера>/owa. В Exchange Server 2007 шифрование SSL для OWA активировано по умолчанию, для чего сервер применяет собственный сертификат, который, впрочем, не расценивается как «вызывающий доверие», поэтому для рабочих сред он малополезен. Кроме того, по умолчанию активирована страница регистрации OWA. Аутентификация больше не осуществляется с помощью стандартного диалога Windows. OWA автоматически завершается, если в течение определенного времени никаких действий не производится: в зависимости от информации пользователя о том, работает ли он за общедоступным компьютером или личным, стандартные значения составляют 15 минут или 8 часов.

Exchange Server 2007 предусматривает возможность совместной работы CAS и внутренних серверов (Back-end) Exchange Sever 2000/2003: в этом случае сервер клиентского доступа выполняет роль внешнего сервера Exchange Server 2000/2003. Правда, для улучшения взаимодействия серверов Microsoft настоятельно рекомендует установить Exchange Server 2007. По умолчанию доступ OWA активирован для всех пользователей. Системные администраторы могут активировать или деактивировать эту функцию в консоли управления Exchange в свойствах пользовательских учетных записей на вкладке «Свойства почтового ящика». Управление учетными записями осуществляется в разделе «Настройка получателя/почтовый ящик».

SERVICE PACK 1 ДЛЯ EXCHANGE SERVER 2007

Service Pack 1 предоставляет пользователям OWA поддержку личных списков рассылки, а также доступ к общим папкам без необходимости выхода из почтового ящика. Гораздо лучше поддерживаются правила и редакторы для ассистентов. Можно настраивать имеющиеся правила приема почты или создать новые. Все правила, созданные в OWA, находятся на сервере, поэтому они будут доступны даже при соединении через Outlook. Пользователи могут создавать формуляры и записи для своих адресных книжек, а также восстанавливать удаленные электронные письма, обращаясь к корзине сервера напрямую через OWA. Помощь администратора теперь не требуется, что приводит к заметному снижению нагрузки на отдел ИТ. Вид календаря также можно настраивать: к примеру, активировать отображение по месяцам, в то время как в прежней версии предлагалось отображать только по неделям или дням.

ДОСТУП К ВЛОЖЕННЫМ ФАЙЛАМ

Рисунок 1. Экран регистрации OWA позволяет указать, откуда производится доступ.При доступе через Outlook Web Access осуществляется разграничение общедоступных и личных компьютеров. Регистрируясь в OWA, пользователи могут выбрать тип компьютера, с которого они соединяются со своим почтовым ящиком (см. Рисунок 1), а системный администратор заранее определяет, к каким вложенным данным разрешен доступ в каждом случае (см. Рисунок 2). К примеру, для тех сотрудников, кто подключился к сети, находясь в Internet-кафе, можно запретить работу с таблицами Excel, содержащими конфиденциальные корпоративные данные.

По умолчанию Exchange Server 2007 разрешает доступ ко всем типам вложений со всех компьютеров, поэтому необходимые настройки рекомендуется произвести как можно скорее после внедрения Exchange Server 2007. Для этого в консоли управления Exchange имеется несколько разделов, а соответствующие настройки находятся в разделе «Свойства» виртуального каталога «OWA» на вкладке «Настройка сервера/доступ клиентов». Там представлены различные опции для разных типов компьютеров. Вкладка «Установить доступ к данным с личных компьютеров» предназначается для настроек «личных компьютеров», которые пользователи могут выбрать при регистрации
в OWA. Возможности конфигурации на этой вкладке идентичны настройкам вкладки «Доступ к данным с общественных компьютеров», ограничивающей доступ с незащищенных компьютеров.

Рисунок 2. С консоли управления Exchange можно детально настроить доступ к вложенным файлам.Доступ возможен как к известным, так и к неизвестным типам файлов. По умолчанию для незнакомых файлов включена опция «принудительное сохранение». При деактивации настройки «Активировать прямой доступ к данным» Exchange Server блокирует доступ к любым вложенным файлам. После нажатия на кнопку «настроить» можно указать, какие вложения OWA будет блокировать, а к каким доступ пользователей разрешен (см. Рисунок 3):

  • разрешить — пользователи получают неограниченный доступ к этому типу файлов;
  • блокировать — Exchange блокирует вложенный файл, но пользователи могут прочитать текст электронного письма;
  • принудительное сохранение — файл можно открыть только после его сохранения на клиентском компьютере.

Функцию просмотра документов в режиме Web (Webready Document Viewing) можно активировать или деактивировать здесь же, во вкладках «Доступ к данным с личных компьютеров» и «Доступ к данным с общественных компьютеров». C помощью кнопки «Поддержка» системным администраторам предлагается настроить типы данных, для которых будет поддерживаться просмотр документов в режиме Web. По умолчанию эта функция активирована для всех типов файлов.

ДОСТУП К РАЗРЕШЕННЫМ ФАЙЛАМ И СЕРВЕРАМ SHAREPOINT

Рисунок 3. Определенные типы вложенных файлов можно заблокировать, а другие — разрешить.Новая функция в OWA — возможность доступа для чтения к разрешенным данным и серверам SharePoint. Для этого появилась новая кнопка «документы», при нажатии на которую OWA отображает все связанные разрешенные разделы (при наличии соответствующих полномочий). Через ссылку «Открыть путь» можно ввести имя разрешенного раздела в соответствии с правилами универсального соглашения об именовании (Uniform Naming Convention, UNC).

Если сохранить имя файла в избранном, дальнейший доступ к нему ускорится. Доступ к разрешенным разделам серверов файлов и к серверам SharePoint настраивается параллельно с функцией просмотра документов в режиме Web. Если такой просмотр предназначается для чтения вложений электронных писем, то задачей удаленного доступа является доступ к определенным файлам. Эта функция активирована по умолчанию, поэтому системным администраторам нужно настроить ее сразу после внедрения Exchange Server 2007, чтобы избежать кражи данных или их нецелевого использования. Впрочем, сама по себе она особой опасности не представляет, поскольку серверы закрыты для несанкционированных пользователей.

Рисунок 4. Настройки в консоли управления Exchange устанавливают типы  разрешенных файлов, которые будут доступны пользователям.Настройка указанной функции опять-таки производится в разделе «Свойства» виртуального каталога OWA в консоли управления Exchange (см. Рисунок 4). Здесь тоже проводится различие между доступом с общественных и личных компьютеров. Опции для общей активации или деактивации доступа к данным находятся на тех же вкладках, что и параметры просмотра документов в режиме Web. Доступ к серверам данных и серверам SharePoint можно настраивать отдельно. Во вкладке «Удаленные серверы файлов» следует указать, какие именно серверы будут открыты для пользователей.

Для серверов (но не отдельных данных) можно создавать разрешительные и запретительные списки, а кроме того, установить, как поступать при обращении к серверу, не включенному ни в один из списков. Все серверы, находящиеся в запретительном списке, недоступны через OWA, тогда как серверы из разрешительного списка предоставляют файлы. По умолчанию Exchange блокирует все серверы, не входящие ни в один из списков. Благодаря этим опциям, предприятия могут четко указать пользователям, откуда и какие серверы с определенными типами данных будут им доступны. При вызове кнопки «Настроить» открывается новое окно, содержащее доменные имена серверов SharePoint, к которым у пользователей есть допуск. Данный раздел особенно полезен в случае применения вложенных доменов, поскольку позволяет получить список доступных серверов SharePoint.

ПРЕДОСТАВЛЕНИЕ OWA C ISA 2006

Outlook Web Access можно удобно и безопасно публиковать в Internet с помощью сервера Internet Security and Acceleration (ISA). Идеальный вариант предусматривает шифрование SSL, сервер клиентского доступа и собственный центр сертификации. ISA Server 2006 содержит ряд улучшений в области публикации серверов вообще и серверов Web в частности, а также несколько новых и расширенных механизмов аутентификации. ISA 2006 автоматически реализует функцию распределения нагрузки Web при публикации OWA.

При помощи технологии мостов SSL (SSL-to-SSL-Bridging) ISA Server 2006 обеспечивает сквозную защиту (End-to-End) и фильтрацию на уровне приложений, предоставляя аутентифицированный и зашифрованный клиентский доступ. Для этого сервер исследует зашифрованные данные, прежде чем они достигнут сервера Exchange. Сервер ISA 2006 расшифровывает поток SSL, производит проверку его состояния, повторно зашифровывает данные и передает их серверу Exchange. При публикации через ISA клиент в сети Internet и сервер ISA формируют туннель SSL. Еще один туннель SSL, находящийся между сервером ISA и сервером Exchange, дополнительно защищает соединение. Эта технология применения двух разных туннелей SSL именуется мостом SSL. Она обеспечивает стабильное и надежное предоставление электронных писем, а также доступ к серверам данных и SharePoint.

Томас Йоос — независимый профессиональный консультант по ИТ. Он консультирует средние и крупные предприятия по вопросам построения сетей Microsoft, Active Directory, Exchange Server и безопасности ИТ.


© AWi Verlag