Exchange и Outlook Web Access

[MitkoS]

SBS W2003 + Exchange.
Опитвам се да пусна Outlook Web Access, но засега без успех.
Моля, ако някой го е правил, да сподели накратко процедурата.
Наясно съм, че трябва четене, но поне да не се лутам дълго в началото.
Благодаря

До момента съм направил следното (почти нищо):
- пуснах порт 443 на сървъра
- пробвах с IE от външен компютър с https://****. Поиска ми някакъв сертификат (какъвто аз естествено нямах) и се появи съобщение "forbidden"
- порових се в IIS на сървъра, но не намерих нищо което да ме насочи какво да правя
- порових се малко и в help-a. Видях, че има още доста интересни неща освен Outlook Web Access, свързани с отдалечено ползване на сървъра. И дотук - дори не разбрах откъде трябва да почна.

[Ghost]

Единствено мога да ти кажа как да криптираш връзката към IIS по SSL, ако това е необходимо (би трябвало), за да пуснеш Exchange и Outlook Web Access. Самите Exchange и Outlook Web Access не съм ги пипал никога. Може и да греша, но предполагам, че Outlook Web Access се инсталира като сайт в IIS и генерира HTМL, комуникирайки като клиент с Exchange. Ако не греша, тогава ще трябва да ползваш SSL - криптирането на отдалечен достъп до фирмена поща е задължително.

Така че....
За да пуснеш HTTPS в IIS стъпките са следните:
1) В IIS създаваш certificate request.
2) Изпращаш го на CA (Certificate Authority, напр. Thawte, VeriSign, VISA) за създаване на сертификат и подписването му
3) Импортваш сертификата в IIS

Стъпка 2 има и друго решение - чрез криптиращ софтуер (напр. open ssl) си генерираш CA сертификат и сертификат за request-a от IIS и подписваш втория сертификат с първия.
Предимства и недостатъци на втория вариант:
+ Безплатен е ;-)
- Трябва клиентите на IIS да добавят генерирания CA certificate в своите browser-и като Trusted authority, иначе ще им се генерира грешка, че сертификата на "този сайт" не подписан от "authority you have not choosen to trust"

Ако смяташ, че това инфо ти е полезно, питай за подробности.

[MitkoS]

... Ако смяташ, че това инфо ти е полезно, питай за подробности...

Полезно е, полезно е. Преди да питам нататък, ще се поборя малко с вграденото Certificattion Authority в SBS W2003, което в моя случай даже не беше инсталирано.

// Мдааа...
Пътят към ада е осеян с добри намерения. С едно инсталиране и деинсталиране на Certification Authority му видях сметката на този иначе добре работещ си сървър. На всичкото отгоре и RAS-а се отгърмя и ще трябва утре рано сутринта да тичам до другия край на София. Както се казва в подобни случаи: "Не правете това у дома".

[Ghost]

//--oftopic
Неприятно. Аз никога не правя нещо, което не съм 100% сигурен как става в/у "жива система". Тествам на машина за тестове и чак когато нещата сработят, както искам, повтарям стъпките в/у "живата система".
--//

При липса на конкретни въпроси, ще повторя - нямам алгоритъм за инсталиране и настройка на този софт, дори не съм го виждал.

Принципно:
Ако примем, че предположението ми относно функцията на Outlook Web Access (OWA) е вярно (така ли е?), тогава бих казал, че задачата се свежда до 3 основни момента:

1) Изграждане на среда за криптирана комуникация "client <-> https server".
Тук мога да помогна с конкретен алгоритъм за openssl базирано решение.
2) Изграждане на среда за комуникация "https server <-> OWA".
Тук задължително трябва да се разбере как се извършва аутентикацията - дали OWA взема user/pass от IIS или IIS пуска всички в криптиран сайт, където OWA посреща с питане за user/pass. Бих предположил, че става дума за втория вариант, но не трябва да се изкючва и възможо решение с аутентикация, базирана на клиентски сертификат.
3) Изграждане на среда за комуникация "OWA <-> mail server".
Интересни моменти - как се идентифицира OWA пред mail server-а - като супер потребител, персонифицира се като логнатия потребител или...? Криптирана ли е връзката помежду им и как?

Дано тези съждения "на глас" са ти от полза...

[dash]

Ето ти една връзка с кратко описание ( май може да минеш и без сертификати):

http://www.msexchange.org/tutorials/...rver_2003.html

... и още един съвет - колкото и да те мързи - винаги чети предварително по въпроса

[MitkoS]

Сутрешното тичане ми се размина. Снощи здраво се бях изнервил и съвсем бях забравил за съществуването на едно телефонно модемче, предвидливо инсталирано за подобни ситуации.

Днес успях да видя пощенстата кутия през IE. Вчера съм бил на косъм.

...До момента съм направил следното (почти нищо):
- пуснах порт 443 на сървъра
- пробвах с IE от външен компютър с https://****. Поиска ми някакъв сертификат (какъвто аз естествено нямах) и се появи съобщение "forbidden"
- порових се в IIS на сървъра, но не намерих нищо което да ме насочи какво да правя
- порових се малко и в help-a. Видях, че има още доста интересни неща освен Outlook Web Access, свързани с отдалечено ползване на сървъра. И дотук - дори не разбрах откъде трябва да почна.

Всъщност днес направих следното:
- пуснах порт 443 на сървъра
- пробвах с IE от външен компютър с https://****. Появи се диалог-бокса за сертификата. Натиснах View certificat и след това Install Certificate. (все още не знам дали това са правилните действия). Съобщението "forbidden" пак се появи с пояснение, че за моето IP не е разрешен достъпа (става и с https://****)
- порових се в IIS на сървъра и си дадох разрешение за моето IP

Горе-долу това е старта който ми трябваше, тъй като е очевидно, че това това не е "истинското решение". (Например, ако ще пътувам, не мога предварително да си отгатна IP-то в хотела. А пък ако махна ограниченията по IP, всеки би могъл да направи действията които описах и впоследствие сигурността остава да виси на една парола.) Сега е ред на дебелите книги - най вече, липсват ми каквито и да е познания за сертификати.

Благодаря на всички, за ценните съвети. С удоволствие ще участвам и в бъдещи дискусии по тая тема или подобни.

ПС. Доколкото разбрах, терминът OWA не означава "сайт в IIS" означава:
"...When you are in the office, you typically use Microsoft® Office Outlook®* 2003 to check your e-mail. When traveling or working from home, you can check your work e-mail remotely by connecting to the Internet or directly to your company network. You can use a Web browser (such as Microsoft Internet Explorer) to open a Web-based version of Outlook 2003 called Outlook Web Access"
// Всъщност си е точно един сайт, само че е по-точно да се каже "подсайт" на един по-голям сайт за който в книгите на MS се използва наименованието "Remote Web Access" (или нещо подобно)

ПС2 Също така, някъде беше загатнато, че отвън може директно да се ползва Outlook 2003 без VPN, а чрез "RPC over HTTPS". (Става въпрос за за Exchange протокол, а не например POP3). За целта в акаунта се конфигурира Exchange proxy. Всичкото това го пробвах, но засега без резултат. По-рано бях отворил една тема за проблеми с Apple и MS Exchange. Тогава си разреших проблема някак си, но чак сега разбирам как и защо.

ПС3 На сървъра НЕ трябва да е инсталиран MS .Net FrameWork 2

[Ghost]

//--offtopic
От това, което си написал, правя извод, че за пореден път M$ сa сменили имената на нещата.
1) Exchange = IMAP
2) Remote Web Access = Web Interface
3) CIFS/SMB = NetBiOS/Microsoft Networking
4) Active Directory = LDAP
5)..
...
N)

Това е една от причините да не харесвам тази компания - не спазват дефинициите, имплементират на криво нещо добре познато от много време и му дават ново име, защото не е съвместимо, с друго освен с техни продукти. Така налагат монопол. Далеч съм от мисълта, че толкова богата компания ще наеме евтини/некадърни/ програмисти, които не могат да правят нещата правилно - просто това е политика.

--//
За сертификата - думата "install" не е точна в диалоговия прозорец на IE. Правилната дума е "Accept".
Въпросът, който излиза има смисъла "съгласни ли сте да приемете сертификат, издаден (подписан) от CA, която не фигурира във вашия списък с CA , на които се доверявате?".
YES = Приемам за тази сесия
NO = Отказвам да ползвам този сертификат
View = Покажи сертификата

За да престане да се показва това съобщение при всяка SSL сесия, трябва сертификата на CA (а не този на сайта) да се добави в списъка с "Trusted Certificate Authorities".

CA = Certificate Authority

[MitkoS]

//--offtopic
От това, което си написал, правя извод, че за пореден път M$ сa сменили имената на нещата.
1) Exchange = IMAP
...
N)

Не знам дали не те подвеждам с моето ПС2 от предишния пост. Ако имаш Outlook XP/2003 подръка, можеш да пробваш да направиш един акаунт и там да видиш списъка с протоколите.
// Аз лично намирам голям смисъл в протокола "Microsoft Exchange Server". Като най-голямо предимство (но не единствено) пред всички останали протоколи които съм виждал, е поддържането на Public Folders. А пък тези Public Folders от своя страна се поддържат и от OWA

[Ghost]

Написах последния пост точно във връзка с твоя ПС2 - не си ме подвел, не се притеснявай. ;-))
Exchange = изкривен IMAP + разширения.
На поканата да използвам Outlook ще отговоря така: опитай с Mozilla да си прочетеш Exchange пощата - ще видиш, че няма проблем, когато избереш "IMAP". ;-)