Konfigurace OWA

Co potřebujeme

1. Exchange Server 2003 SP2 (service pack není důležitý, ale budu popisovat tuto verzi)
2. Internet Explorer 6 (případně Firefox či jiný alternativní prohlížeč)

Pozn.: Většinu softwaru používám v anglické verzi (včetně Windows 2003 serveru a Exchange serveru), proto budu popisovat nastavení anglické, myslím však, že není problém aplikovat stejný postup na českou verzi.

Čeho dosáhneme

Ve verzi Exchange Server 2003 je OWA velice vylepšena a pokud použijeme Premium klienta, který vyžaduje jako prohlížeč minimálně Internet Explorer 5.01, dosáhneme komfortního rozhraní, které se příliš neliší od aplikace Outlook 2003. Jsou zde podporována kontextová menu na pravé tlačítko myši, technologie drag&drop, kontrola pravopisu, práce s GALem atd.

Jak je to s jazyky

Nejprve záleží na tom, jaké jazyky máme nastavené na Exchange serveru. To můžete měnit následně:

• otevřeme System Manager
• otevřeme položku Servers a klikneme pravým tlačítkem na jméno_serveru
• přepneme se na záložku Locales

Pozn.: Tak alespoň hovoří dokumentace, ovšem z vlastní zkušenosti mohu říct, že například v Chile jsem měl rozhranní ve Španělštině a v Brazílii v Portugalštině, přestože tyto jazyky nemám na serveru nastaveny.

Dále záleží na tom, jaký jazyk má klient nastavený v prohlížeči. U Internet Exploreru 6 je to v menu Tools -> Internet Options -> záložka General -> Languages. Použije se jazyk, který je nejvíce nahoře.

Jediná možnost jak změnit jazyk v OWA, je změnit tento jazyk v prohlížeči.

Problém s jazykem ve jménech složek

Emailová schránka se fyzicky vytváří na Exchange serveru až při prvním připojení. V této chvíli se vytváří struktura složek. Názvy těchto složek se vytvoří v jazyce vašeho prostředí. Př.: operační systém Windows XP je v anglické verzi a v regionálním nastavení je zvolena čeština, při prvním připojení z MS Outlook 2003 se složky vytvoří anglicky. Problém může nastat, když první připojení ke schránce provedete přes OWA a v prohlížeči máte nastaven jiný jazyk, např. češtinu, potom se složky vytvoří v tomto jazyce.

Řešení je jednoduché, na klientovi (musí být vypnutý Outlook) zadejte Outlook.exe /resetfoldernames a jména adresářů se nastaví podle klienta.

Zprovoznění OWA

Se zprovozněním není žádný problém, protože již ve standardním (výchozím) nastavení je vše zapnuto, ale je třeba zvýšit bezpečnost.

Vypnutí OWA pro server

Pokud bychom chtěli vypnout OWA pro celý server, tak jediná možnost je vypnout celý Web Site, v kterém OWA běží, tj. Exchange Virtual Server. To provedeme následně:

• otevřeme System Manager
• otevřeme položku Servers -> jméno_serveru -> Protocols -> HTTP
• klikneme pravým tlačítkem na Exchange Virtual Server
• zvolíme Stop

Vypnutí OWA pro uživatele

Přístup k OWA můžeme řídit pro každého uživatele. Pokud bychom chtěli povolit přístup k OWA pouze některým uživatelům (defaultně mají všichni povoleno), tak postupujeme následně:

• otevřeme Active Directory Users And Computers (potřebujeme rozšíření pro Exchange)
• najdeme uživatele, kterému chceme změnit nastavení
• otevřeme jeho Properties
• klikneme na záložku Exchange Features
• ve skupině Protocols můžeme vypnout nebo zapnout Outlook Web Access

Nastavení přístupu

OWA je, ve své podstatě, webová aplikace, takže nastavení bezpečnosti se týká několika virtuálních adresářů pod webovým serverem (běžně Default Web Site). Autentizace uživatele se provádí klasicky oproti doménovému řadiči (použije se Active Directory), my můžeme určovat jakým způsobem a jaká autentizační data se použijí.

Virtuální adresáře pro OWA

/Exchange

hlavní adresář pro přístup k uživatelským schránkám (\\.\BackOfficeStorage\domain\MBX)

/Public

přístup k veřejným složkám (\\.\BackOfficeStorage\domain\Public Folders)

/ExchWeb

obsahuje grafiku a další potřebné věci pro OWA (k tomuto adresáři se nepřistupuje přímo) (C:\Program Files\Exchsrvr\ExchWeb)

K těmto virtuálním adresářům můžeme přistupovat přes System Manager, nachází se v Servers -> jméno_serveru -> Protocols -> HTTP -> Exchange Virtual Server. Nebo přes Internet Information Services (IIS) Manager, pod jméno_serveru -> Web Sites -> Default Web Site. Nastavení na těchto místech však nejsou úplně totožná. Hodnoty, které je možno nastavit v System Manageru, je třeba nastavovat zde. Exchange server totiž každých 15 minut a při restartu spouští proces DS2MB, který přepisuje tyto hodnoty do IIS.

Pozn.: adresář ExchWeb je přístupný pouze přes IIS.

Nastavení přístupových práv

Přístupová práva k virtuálnímu adresáři pro Exchange a Public nastavujeme v System Manageru (pravým tlačítkem na daný virtuální adresář, Properties, záložka Access). Ve výchozím nastavení je povoleno vše pod Access Control a Execute Permissions je nastaveno na None. Aby fungovaly správně všechny funkce OWA, je třeba toto nastavení zachovat. Práva pro ExchWeb se nastavují v IIS (pravým tlačítkem na daný virtuální adresář, Properties, záložka Virtual Directory) a je povoleno pouze čtení.

Nastavení autentizačních metod

Používané způsoby autentizace jsou:

Basic authentication

což je základní a nejvíce podporovaná možnost, ale informace jsou posílány nešifrovány, proto je použitelná pouze dohromady se SSL

Integrated Windows Authentication

při této metodě server „vyjednává“ s operačním systémem klienta (min Windows 2000) a není třeba zadávat přihlašovací údaje (využívá se aktuální přihlášení)

Anonymus access

anonymní přístup, Windows vytvoří speciální lokální účet IUSR_jmeno_serveru pro tento přístup, ale heslo není ověřováno

Adresáře Exchange a Public nastavujeme v System Manageru (pravým tlačítkem na daný virtuální adresář, Properties, záložka Access, tlačítko Authentication). Ve výchozím nastavení je povoleno Basic authentication a Integrated Windows Authentication (provádí se vyjednávání, kdy se nejprve snaží použít bezpečnější metodu a pokud ji klient nepodporuje, zkouší se další)

Pro adresář ExchWeb se nastavuje v IIS (pravým tlačítkem na daný virtuální adresář a Properties, záložka Directory Security, v Authentication and access control tlačítko Edit) a defaultně je povolen anonymní přístup k tomuto adresáři. Ale podadresář BIN, který obsahuje řízení, má již nastavenu Integrated Windows Authentication a Basic authentication.

Stejně jako u přístupových práv není důvod k žádným změnám výchozího nastavení.

OWA přes SSL

Ať již kvůli Basic authentication nebo proto, že v poště se přenášejí citlivá data (ponechme stranou fakt jakým způsobem dorazí zpráva na server), bych jednoznačně doporučil používat pro spojení šifrování pomocí SSL a na stránky tedy přistupovat přes protokol HTTPS (standardně port 443).

Nejprve je třeba mít na severu nainstalován serverový certifikát. Pokud jej nemáme, tak si o něj zažádáme u naší certifikační autority, případně správce certifikátů. Pokud zatím nepoužíváme certifikáty, tak si v menší firmě můžeme nainstalovat certifikační autoritu od Microsoftu na Windows Server. A následně vydat certifikát, v tomto případě nebude při připojení přes OWA certifikát důvěryhodný, dokud naši autoritu nepřidáme mezi důvěryhodné na klientovi. Vydání certifikátu provedeme v  mmc konzoli, Snap-in Certificates pro Computer account, pod Personal – pravým tlačítkem na Certificates a All Tasks – Request New Certificate.

Vynucení použití HTTPS

• otevřeme Internet Information Services (IIS) Manager
• rozbalíme jméno_serveru -> Web Sites -> Default Web Site
• klikneme pravým tlačítkem na adresář Exchange (a postupně zopakujeme pro ExchWeb i Public)
• zvolíme Properties
• přepneme se na záložku Directory Security
• ve skupině Secure communications klikneme na Edit
• zde zvolíme Require secure channel (SSL) a navíc můžeme vyžadovat 128bitové šifrování

Nastavení přihlašování pomocí formulářů (Forms Based Authentication)

Standardně se při přihlášení k OWA (pro ověření uživatele) otevře pop-up okno, kam se zadává uživatelské jméno (většinou včetně domény) a heslo. Pozn.: toto je při použití Basic authentication, pokud se použije Integrated Windows Authentication neotvírá se žádný dialog. Můžeme však nastavit uživatelsky příjemnější, všemi doporučovanou a o něco bezpečnější (můžeme se korektně odhlásit, je možné vypršení spojení na základě Cookies) možnost, přihlašování pomocí formuláře. V tomto případě se zobrazí přihlašovací stránka, která nám umožní i nastavit pár vlastností. Pozn.: i v tomto případě je heslo posíláno jako volný text a proto je třeba použít SSL. Jednou vlastností je, že jediný možný typ autentizace je Basic authentication (nastavení nemůžeme měnit), ale to je asi logické.

Přihlašování pomocí formuláře nastavíme následně:

• otevřeme System Manager
• otevřeme položku Servers -> jméno_serveru -> Protocols -> HTTP
• klikneme pravým tlačítkem na Exchange Virtual Server a zvolíme Properties
• přepneme se na záložku Settings
• vybereme Enable Forms Based Authentication a můžeme zvolit i kompresi dat, potom se data komprimují pomocí gzip komprese (pro celé OWA)
• po potvrzení dostaneme ještě varování, že je třeba využít SSL
• restartujeme IIS službu, buď přes Computer Management -> Services nebo přes IIS Manager nebo příkazem net stop w3svc a net start w3svc

Další scénáře nasazení Exchange serveru

Doposud jsem mluvil obecně o základním scénáři, kdy máme jeden Exchange server a neuvažoval jsem vliv Firewallu. Krátce se zmíním o dvou (v praxi používaných) zapojeních z hlediska způsobu autentizace.

Exchange a ISA Server 2004

Pokud jako firewall používáme MS ISA Server 2004, získáme určité výhody pro nastavení. Autentizace pomocí formuláře se může nastavit na firewallu a ten zařizuje komunikaci s Exchange serverem (tam potom nesmí být tato autentizace nastavena). V tomto případě se využívá SSL bridging a komunikace probíhá šifrovaně mezi vzdáleným klientem a ISA serverem a mezi ISA serverem a Exchange serverem. Toto nastavení můžeme na ISA serveru provést pomocí průvodce.

Pozn.: Jednu malou nevýhodu přináší toto řešení. Na Exchange serveru se nachází přihlašovací stránka v řadě jazyků, kdežto na ISA serveru je jazyk pouze jeden (ale je možno editovat jazykový soubor, viz. změna přihlašovací stránky).

Front-end a Back-end servery

Pro toto řešení musíme použít dva Exchange servery – Front-end (klientská část) a Back-end (data). Předřazený server může být umístěn v DMZ, na něm je nastavena Forms Based Authentication a tento server se spojuje s druhým serverem uvnitř sítě, který obsahuje poštovní schránky.

Nastavení klienta

Jak již bylo řečeno, na klientovi není třeba nic nastavovat a stačí nám téměř libovolný webový prohlížeč. Do něho pak zadáme adresu serveru (při použití SSL) https://DNS_jmeno_serveru/Exchange a otevře se nám přihlašovací stránka (pokud jsme nastavili přihlašování pomocí formuláře a dobře nakonfigurovali firewall). Uživatelské jméno je třeba zadat buď ve tvaru NetBIOS_jméno_domény\jméno (tzv. UNC formát – Universal Naming Convention) nebo jméno@DNS_jméno_domeny (tzv. UPN formát – user principal name).

Pod údaji o přihlášení máme možnost zvolit typ klienta mezi Premium a Basic (pokud máme min IE 5.01 jinak se automaticky použije Basic). Premium je mnohem komfortnější. A bezpečnostní nastavení, zda se přihlašujeme z veřejného či sdíleného počítače (v tomto případě vyprší session po 15 minutách) nebo soukromého počítače (pak je session platná 24 hodin). Bezpečnostní nastavení funguje tak, že se uživatelské credentials uloží do cookie a toto cookie má danou platnost.

Uživatelskou přívětivost můžeme ještě zvýšit tím, že upravíme nastavení na IIS, aby nebylo třeba do adresy uvádět i adresář Exchange, ale stačilo zadat přímo DNS adresu https://DNS_jmeno_serveru

METODA 1 (by Jirka.S)
– Echange System Manager -> Servers -> Protocols – > HTTP  – zde vytvorit novy HTTP virtual server
– v záložce general/advance dopsat hostname
 -> toto nastavení by mělo vytvořit v IIS nový webový server
POZOR! – bude potřeba restartovat IIS a Exchange

METODA 2 (samozřejmě nám v tomto případě nesmí běžet jiný web server v rootu webu):

• otevřeme Internet Information Services (IIS) Manager
• rozbalíme jméno_serveru -> Web Sites
• klikneme pravým tlačítkem na Default Web Site a zvolíme Properties
• přepneme se na záložku Home Directory (zde určujeme, co se nachází v rootu webu)
• vybereme A redirection to URL, do pole Redirect to: zadáme cestu k virtuálnímu adresáři /Exchange a zaškrtneme A directory below URL entered
• potom, co klikneme na OK, se otevře okno Inheritance Overrides s výběrem, na které virtuální adresáře se nastavení uplatní
• v seznamu nevybereme nic a potvrdíme OK

Krátké rady

Blokování příloh

Stejně jako v aplikaci MS Outlook 2003 je pro OWA řada příloh blokována podle přípony. Pro Outlook můžeme upravovat seznam těchto příloh v registrech na klientovi, pro OWA je třeba změnit registry na Exchange serveru. Seznam se nachází v registrech v cestě HKLM\System\CurrentControlSet\Services\MSExchangeWeb\OWA. Je zde hodnota Level1FileTypes, přílohy s touto příponou jsou blokovány a přes OWA k nim není přístup. A hodnota Level2FileTypes, tyto přílohy jsou přístupné přes OWA, ale musí se nejprve uložit na disk.

Pokud bychom chtěli blokovat všechny přípony při přístupu přes OWA, tak ve stejné cestě vytvoříme DWORD hodnotu DisableAttachments a nastavíme ji na 1.

Nastavení doby vypršení autentizačního cookie

Jak jsem uváděl dříve, při autentizace pomocí formulářů, se může volit mezi připojením veřejného či sdíleného počítače nebo soukromého počítače, což ovlivní délku platnosti session. Defaultní hodnoty je možno změnit v registrech na Exchange serveru. V HKLM\System\CurrentControlSet\Services\MSExchangeWeb\OWA vytvoříme DWORD hodnotu PublicClientTimeout pro veřejné připojení nebo TrustedClientTimeout pro soukromé. Hodnota je v minutách a maximum můžeme nastavit 43200 (30 dní). Následně je třeba restartovat IIS server.

Povolení přístupu k FreeDocs

FreeDocs je zkratka pro Free Documents, což jsou volně vložené dokumenty do Exchange adresáře. Vzniknout tak, že přetáhnete dokument přímo do složky v poště. Pokud je tato složka ve vaší schránce, tak se po poklepání otevře, ale pokud je ve veřejné složce, je přístup přes OWA standardně zakázán. Povolení provedeme v registrech HKLM\System\CurrentControlSet\Services\MSExchangeWeb\OWA vytvoříme DWORD hodnotu EnableFreedocs a nastavíme na 3.

Změna přihlašovací stránky

Přihlašovací stránka je uložena v adresáři Exchange serveru jako ASP soubor. Při standardní instalaci je cesta C:\Program Files\Exchsrvr\exchweb\bin\auth\. Dále složka podle jazyka, pro všechny anglické verze slouží adresář USA, pro českou je CZE. Soubor se jmenuje logon.asp.

Tento soubor můžeme upravit podle své představy, například stylizovat do designu firmy. Samozřejmě je dobré si vždy udělat zálohu souboru. A pamatovat na to, že při upgradu může být tento soubor přepsán.

Další možností je upravit přihlašování tak, aby nebylo třeba zadávat doménu. V souboru logon.asp se upraví odesílání formuláře tak, že se pomocí JavaScriptu zkontroluje vstup a případně doplní doména. Návod k úpravě souboru naleznete u Microsoftu support.microsoft.com/?kbid=820378, kde je tento popis jako řešení problému, kdy se OWA session neočekávaně ukončí. Tento problém nastává, pokud se přihlásíte bez uvedení domény a použijete kontrolu pravopisu. Mě se však tento problém nepodařilo navodit.

Pokud používáte metodu, kdy je ověřování pomocí formulářů nastaveno na ISA serveru, tak samozřejmě změna souboru logon.asp k ničemu nevede, neboť se použije tento soubor z ISA serveru. Na ISA serveru se potřebné soubory nachází v cestě C:\Program Files\Microsoft ISA Server\CookieAuthTemplates a jedná se o soubory logon_MSIERich.htm a logon_NotMSIERich.htm s vlastní stránkou a soubor strings.txt s texty.

Změna vzhledu prostředí

Pro OWA existuje několik šablon, které je možno měnit přes nastavení v klientovi. Tyto různé vzhledy se skládají ze šablon C:\Program Files\Exchsrvr\exchweb\themes, což je grafika a CSS soubor, a řízení C:\Program Files\Exchsrvr\exchweb\controls. Pokud chceme upravit vzhled, může změnit v některé šabloně obrázky a styly nebo vytvořit novou šablonu. Zásah do řídících souborů bych nedoporučoval.