انواع دسترسی به Exchange
اصلی ترین پروتکل ارتباطی Outlook با Exchange، پروتکل MAPI یا Message Application Programing Interface می باشد. به عبارت دیگر، Outlook یک MAPI Client برای Exchange محسوب می گردد.
دیگر پروتکلی که می تواند برای ارتباط با Exchange مورد استفاده قرار بگیرد، پروتکل POP3 است. به صورت پیش فرض، ارتباط POP3 Client ها با Exchange غیر فعال است. برای فعال نمودن آن، باید سرویس Microsoft Exchange POP3 و سرویس Microsoft Exchange POP3 Backend در سرور Exchange در حالت Start و Automatic قرار بگیرد.
پروتکل دیگری که می تواند برای ارتباط با Exchange مورد استفاده قرار بگیرد، پروتکل IMAP است. به صورت پیش فرض ارتباط IMAP4 Client ها با Exchange غیر فعال است. برای فعال نمودن آن، باید سرویس Microsoft Exchange IMAP4 و سرویس Microsoft Exchange IMAP4 Backend در سرور Exchange، در حالت Start و Automatic قرار بگیرد.
نکته: برای بررسی Run بودن سرویس های فوق الذکر در EMS از cmdlet های زیر استفاده می کنیم:
Get-Service MSExchangeIMAP4; Get-Service MSExchangeIMAP4BE
Get-Service MSExchangePOP3; Get-Service MSExchangePOP3BE
پیکربندی برای پروتکل های POP3 و IMAP4 در قسمت زیر صورت می پذیرد:
EAC —–>servers ——> servers TAB
در این قسمت، سرور مورد نظر را Edit می کنیم و تنظیمات مورد نظر را انجام می دهیم.
به منظور ارتباط امن با Exchange از طریق پروتکل های POP3 و IMAP4، پس از Start نمودن سرویس های مربوطه، مراحل زیر را انجام می دهیم:
۱٫ Enable نمودن SSL Certificate برای سرویس های POP/IMAP: به این منظور پس از نصب Certificate در Exchange (که به صورت کامل در بخش Certificate توضیح داده شده است) Certificate نصب شده را Edit می کنیم و در Service TAB، سرویس های POP3 و IMAP4 را انتخاب می کنیم.
۲٫ پیکربندی تنظیمات POP3/IMAP4 برای کلاینت های خارجی (External Clients): اگر فرض کنیم آدرس خارجی و داخلی سرور MBX، معادل: mail.contoso.com باشد و همین URL در Certificate نیز وجود داشته باشد:
Set-ImapSettings -ExternalConnectionSettings “mail.contoso.com:993:SSL”,”mail.contoso.com:143:TLS” -X509CertificateName mail.contoso.com
Set-PopSettings -ExternalConnectionSettings “mail.contoso.com:995:SSL”,”mail.contoso.com:110:TLS” -X509CertificateName mail.contoso.com
۳٫ سرویس POP3 و IMAP4 را Restart می نماییم.
۴٫ پیکربندی تنظیمات Authenticated SMTP که بوسیله کلاینت های POP3 و IMAP4 مورد استفاده قرار می گیرد: کلاینت های POP3/IMAP4 برای ارسال ایمیل به یک Mail Server، از پروتکل SMTP استفاده می کنند و تنها برای دریافت ایمیل از Mail Server است که از پروتکل های POP3 یا IMAP4 استفاده می کنند. در Exchange یک Receive Connector، مسئول دریافت ترافیک SMTP است که به صورت Default نصب می شود و Client Frontend نام دارد. کلاینت ها برای اتصال به این Connector، نیازمند Authenticate کردن کاربر هستند.
برای پیکربندی تنظیمات Authenticated SMTP برای آدرس خارجی سرور MBX، در:
EAC ——> Mail flow —–> Receive Connectors TAB
Client Frontend را انتخاب و Edit می کنیم. در Scoping TAB، در قسمت FQDN، آدرس مورد نظر را وارد می کنیم (مثلا” mail.contoso.com)
۵٫ اختصاص Certificate که برای Encrypt کردن Connection های Authenticated SMTP Client:
به این منظور ابتدا باید Thumbprint مربوط به Certificate نصب شده را بدست آوریم. به این منظور از cmdlet زیر استفاده می کنیم:
Get-ExchangeCertificate | Format-List
نکته: کنسول Exchange Management Shell به صورت Run as Administrator باز شود.
با فرض اینکه Tumbprint آن Certificate برابر:
۴۳۴AC224C8459924B26521298CE8834C514856AB
باشد، آنگاه cmdlet زیر را اجرا می کنیم:
$cert = Get-ExchangeCertificate -Thumbprint 434AC224C8459924B26521298CE8834C514856AB
$tlscertificatename = “<i>$($cert.Issuer)<s>$($cert.Subject)”
Set-ReceiveConnector “EX2016SRV1\Client Frontend EX2016SRV1” -TlsCertificateName $tlscertificatename
Autodiscover
Autodiscover قابلیتی است که سبب می شود، Outlook به صورت اتوماتیک و بدون انجام هیچگونه پیکربندی، به سرویس Client Access Service متصل شود. Autodiscover به صورت اتوماتیک تنظیمات Mailbox را برای پروفایل کاربر در Outlook، پیدا می کند. Autodiscover همچنین App های موبایل را نیز ساپرت می کند.
نحوه کار Autodiscover بدین صورت است که یک درخواست XML از طرف Outlook به سرویس Client Access ارسال می گردد. این سرویس، Active Directory را به منظور یافتن مکان Mailbox کاربر، چک می کند. پس از تعیین سرور MBX که Mailbox کاربر را نگهداری می کند، آنگاه درخواست از سرویس Client Access به سرور MBX مربوطه ارسال می گردد و سرور MBX تنظیمات Mailbox کاربر را در قالب یک XML Package به Outlook باز می گرداند. و Outlook برای پیکربندی خود، از این XML Package استفاده می کند.
Outlook برای بدست آوردن اطلاعات و پیدا کردن سرور Exchange (سرور Autodiscover) برای ارسال درخواست XML خود به آن، به دو روش می تواند عمل کند:
الف- Outlook کلاینت هایی که Join به Domain هستند و به Active Directory، وارد شده اند (login نموده اند) در این حالت این اطلاعات را مستقیما” از Active Directory بدست می آورند.
ب- Outlook کلاینت هایی که Join به Domain نیستند و یا به Active Directory دسترسی ندارند (بطور مثال هنگام کار در منزل) در این حالت آدرس سرور Autodiscover برای ارسال درخواست XML، بر پایه SMTP Address کاربران ساخته می شود.
-
کلاینت های Domain-Joined:
هنگامی که یک سرور Exchange نصب می شود، یک Computer Object در Active Directory ایجاد می گردد. علاوه بر این Computer Object، یک SCP (Service Connection Point) نیز در Active Directory ایجاد می شود. یعنی به ازای هر سرور Exchange، یک SCP در Active Directory وجود دارد.
یک SCP دارای یک GUID (Global Unique Identifier) شناخته شده است. این GUID برای نوع آن Application که از SCP استفاده می کند، یکتاست. در مورد Exchange، این Application، نرم افزار Outlook است. تمامی SCP های ایجاد شده به واسطه نصب سرور های Exchange، دارای GUID یکسان و شناخته شده برای Outlook هستند و Outlook برای این GUID از Active Directory سازمان، Query می گیرد.
این GUID در یک Attribute بنام Keywords، همراه با نام سایتی که سرور Exchange در آن قرار گرفته است، ذخیره شده است. با یافته شدن این GUID، یک Attribute دیگر از همان Object، بنام ServiceBindingInformation، بدست می آید که مقدار این Attribute، آدرس (URL) متعلق به Autodiscover می باشد.
فرآیند Autodiscover تنها هنگام پیکربندی اولیه Outlook اتفاق نمی افتد بلکه درخواست XML، هر ساعت یکبار، ارسال می گردد تا در صورت وجود تغییر در Exchange، این تغییرات در پروفایل کاربر در Outlook، اعمال شود.
Autodiscover تمامی اطلاعات مربوط به تغییرات در Exchange، از قبیل Virtual Directory های OWA، EAC، MAPI، دانلودهای OAB ونیز Exchange Web Services را بدست می آورد و در پروفایل کاربر در Outlook اعمال می کند.
برای بررسی عملکرد Autodiscover، از درون Outlook، می توانیم هنگامی که Outlook در حال اجرا است، بر روی آیکن آن در System Tray، کلید ترکیبی CTRL+ Right Click را بگیریم و گزینه Test Email Configuration را انتخاب کنیم.
-
Outlook کلاینت هایی که Join به Domain نیستند و یا کلاینت هایی که Join به Domain هستند اما به Active Directory دسترسی ندارند
در این روش Outlook یک URL بر اساس قسمت سمت راست آدرس ایمیل کاربر ایجاد می کند. بطور مثال اگر ایمیل کاربر John@Contoso.com باشد، Outlook برای دستیابی به سرور Exchange از URL:
https://contoso.com/autodiscover/autodiscover.xml
استفاده می کند و درخواست XML خود را برای این URL ارسال می نماید. اگر این URL کار نکرد، اینبار درخواست خود را برای URL:
https://autodiscover.contoso.com/autodiscover/autodiscover.xml
ارسال می نماید.
نکته: بدیهی است که در Public DNS باید یک A Record بنام Autodiscover که Public IP Address متعلق به سرور Exchange را باز میگرداند، ایجاد شده باشد.
ActiveSync
ActiveSync، یک پروتکل همسان سازی است که به گوشی های موبایل و تبلت ها اجازه می دهد تا بر پایه HTTP/HTTPS XML، به اطلاعات موجود بر روی سرور Exchange دسترسی یابند و بدین ترتیب کاربران می توانند ایمیل هایشان، Calendar، Contact ها و Task های خود را بر روی موبایل یا تبلت شان مشاهده نمایند.
بصورت Default، قابلیت ActiveSync برای تمامی کاربران فعال است. Virtual Directory مورد استفاده برای این سرویس Microsoft-Server-ActiveSync نام دارد.
قابلیت ActiveSync را می توان برای یک کاربر، Disable یا Enable نمود. برای اینکاردر:
EAC ——> recipients ——-> Mailboxes TAB
بر روی کاربر مورد نظر کلیک می کنیم و Edit می کنیم. در قسمت Mailbox Features TAB، قسمت Mobile Devices، می توان ActiveSync را Disable یا Enable نمود.
همانگونه که پیشتر ذکر شد، ActiveSync از پروتکل SSL به منظور Encrypt نمودن ارتباط میان Mobile Device ها، استفاده می کند. لذا نصب یک Certificate مخصوص Web برای ActiveSync بر روی سرور Exchange، الزامی است. این Certificate می تواند از یک Third-Party CA اخذ شود و یا از یک CA داخلی دریافت گردد.
ایجاد یک ActiveSync Mailbox Policy
به این منظور در:
EAC —–> mobile —-> mobile device mailbox policies
بر روی + کلیک می کنیم. در قسمت Name یک نام برای Policy انتخاب می کنیم. با زدن چک مارک:
Allow mobile devices that don’t fully support these policies to synchronize
Device هایی که برخی تنظیمات این Policy را پشتیبانی نمی کنند، نیز می توانند همسان سازی را انجام دهند.
با زدن چک مارک Require a password، آن Mobile Device که با استفاده از پروتکل ActiveSync به Exchange متصل می شود، حتما” باید دارای Password باشد. با زدن این چک مارک، اگر گزینه دیگری انتخاب نشود، یک Password چهار رقمی باید انتخاب گردد.
با زدن چک مارک Allow Simple password، اجازه انتخاب Password یا PIN ساده را، نظیر ۱۱۱۱ یا ۱۲۳۴، به کاربران می دهد.
با زدن چک مارک Require an alphanumeric password، باید Password انتخاب شده برای Device، شامل حرف و عدد باشد.
نکته: Character Set ها، شامل: حروف کوچک، حروف بزرگ، اعداد و Symbol ها هستند. در قسمت:
Password must include this many character sets
تعیین می شود که در یک Password، چند Character Set باید وجود داشته باشد. بطور مثال اگر عدد ۳ انتخاب شود، یک Password باید شامل سه Character Set از چهار Character Set ذکر شده در بالا، باشد.
با انتخاب گزینه Require encryption on device، باید Mobile Device، دیتایی را که در حافظه داخلی خود و یا حافظه خارجی، نظیر SD Card، ذخیره می کند، Encrypt نماید.
Minimum Password Length: در این قسمت می توان حداقل طول Password را مشخص کرد. (بین ۴ تا ۸ کاراکتر)
Number of sign-in failures before device is wiped: در این قسمت می توان تعداد دفعات Sign in غیر موفق را که پس از آن ایمیل ها از حافظه Mobile Device پاک خواهد شد، تعیین کرد. این دفعات باید بین ۴ تا ۱۶ باشد.
Require sign-in after the device has been inactive for (minutes): در این قسمت تعیین می شود که باید پس از چند دقیقه غیر فعال بودن Mobile Device، نیاز به Sign-in مجدد وجود داشته باشد.
Enforce password lifetime: در این قسمت تعیین می شود که یک Password باید حداکثر چند روز اعتبار داشته باشد.
Password recycle count: در این قسمت تعیین می شود که Password های قدیمی را که بعد از تعویض Password، نمی توان از آنها به عنوان Password جدید استفاده کرد، باید چه تعدادی باشد.
اعمال Mobile Device Policy به کاربران:
EAC ——> recipients ——> Mailboxes TAB
کاربر مورد نظر را انتخاب می کنیم. در قسمت سمت راست، قسمت mobile devices بر روی view details کلیک می کنیم. آنگاه در صفحه Mobile Device Details، بر روی Brows کلیک می نماییم و Policy مورد نظر را انتخاب می کنیم.
پیکربندی Mobile device access:
EAC ——> Mobile ——> mobile device access TAB
در این قسمت می توانیم نوع دسترسی گروهی از Mobile Device ها را بر اساس نوع برند و مدل آنها، تعیین کنیم. برای اینکار بر روی + کلیک می کنیم. در قسمت Device family، بر روی Brows کلیک می کنیم. در این قسمت، لیستی از تمام Mobile Device هایی که قبلا” به Exchange متصل شده اند، نمایش داده می شود و می توان نوع برند مورد نظر را انتخاب کرد. در قسمت Only this model نیز با کلیک بر روی Brows، مدل Mobile Device هایی که قبلا به Exchange متصل شده اند، قابل مشاهده است و می توان مدل مورد نظر را انتخاب کرد.
در انتها، نوع رفتار Exchange با برند و مدل انتخابی، تعیین می گردد که می تواند یکی از سه گزینه Allow access، Block access و Quarantine باشد. در صورتیکه نوع رفتار Exchange گزینه Quarantine تعیین گردد، آنگاه آن Mobile Device، هنگام اتصال به Exchange، در قسمت Quarantined Devices، قابل مشاهده خواهد بود. در این قسمت می توان به آن Mobile Device، اجازه اتصال داد و یا آن را Block نمود.
Personal Exemptions:
Mobile Device ها بر اساس منطبق شدن یک Device Access Rule ویا منطبق نشدن هیچکدام از Device Access Rule ها (در قسمت Edit)، دارای یکی از سه وضعیت Allow Access، Block Access و یا Quarantine خواهند شد.
می توان این وضعیت را برای یک یا چند کاربر مورد نظر، تغییر داد. به تغییر این وضعیت برای یک کاربر خاص، Personal Exemption گفته می شود. برای این کار در:
EAC ——> recipients ——-> mailboxes TAB
بر روی کاربر مورد نظر کلیک می نماییم و در ستون سمت راست، زیر مجموعه phone and voice features بر روی view details کلیک می کنیم. در قسمت mobile devices، لیست Mobile Device ها و وضعیت آنها، وجود دارد. در این قسمت می توان Mobile Device مورد نظر را انتخاب نمود و برای آن کاربر، آن را Block یا Allow کرد. در این قسمت همچنین می توان با کلیک بر روی:
Create a rule for similar devices
یک Device Access Rule برای Device های مشابه با Mobile Device انتخاب شده، ایجاد نمود. از سوی دیگر می توان با انتخاب Mobile Device مورد نظر و کلیک بر روی Wipe Data، ایمیل هایی را که تاکنون این دستگاه از Exchange دریافت نموده است، پاک کرد.
همچنین کاربر می تواند در EAC، در ستون سمت راست، زیر مجموعه phone and voice features، قسمت view details، در قسمت mobile devices، مشاهده نماید که چه Mobile Device هایی با اکانت وی به Exchange متصل شده اند. کاربر در این قسمت می تواند یک Mobile Device را Remove کند (که بدین ترتیب اتصال قطع می شود اما مجددا” قابل برقرار شدن است)، Block کند (مثلا” هنگامی که دستگاه خود را گم کرده یا آن را دزدیده اند) و یا ایمیل هایی را که تا کنون دستگاه وی از Exchange گرفته است، پاک کند (Wipe)
در ادامه مبحث مربوط به پیکربندی mobile device access، با کلیک بر روی edit، می توان:
الف- در قسمت Connection Settings، نوع رفتار Exchange با Mobile Device هایی را که شامل هیچیک از Device Access Rule ها نمی شوند را تعیین کرد.
ب- در قسمت Quarantine Notification Email Message، می توان تعیین کرد که Email آگاهی دهنده قرار گرفتن یک Mobile Device در قسمت Quarantined Devices، برای چه شخص یا گروهی ارسال شود.
ج- در انتها می توان متن یک ایمیل آگاهی دهنده را تعیین کرد که هنگامی که Mobile Device یک کاربر، در حالت احراز هویت، Blocked و یا Quarantine قرار می گیرد، برای وی ارسال شود (کاربران هنگام پیکربندی Mobile Device خود برای ActiveSync، آدرس ایمیل خود را وارد می کنند)
