IceWarp Server
Dokumentace Exchange ActiveSync Verze 10
Printed on 1 December, 2009 © Copyright 1999-2009 IceWarp Ltd. All rights reserved.
Obsah Dokumentace Exchange ActiveSync Obecné Kompatibilní zařízení Nastavení serveru Bezpečnostní politiky Lokální a vzdálený výmaz Lokální výmaz Vzdálený výmaz Potvrzení emailem Jak definovat bezpečnostní politiku Politika na úrovni serveru Výchozí politika Politika na úrovni domény Politika na úrovni uživatele Politika na úrovni zařízení Dědičnost politik Souhlas s politikou Potvrzení emailem Výjimky pro nekompatibilní zařízení Výjimky pro zvláštní uživatele Jak zrušit nastavenou politiku Referenční příručka Šifrování SSL na platformě Windows Mobile Požadavky na SSL spojení Windows Mobile 5.0 a Windows Mobile 6.x PocketPC/Smartphone 2002 a 2003 Nastavení šifrování SSL pro ActiveSync Windows Mobile a ověřené certifikáty Další informace Nastavení na zařízení Záloha stávajících dat Konfigurace
Řešení potíží Reset databáze ActiveSync Změna heartbeat Intervalu Přístup do GroupWare z mailu Doporučení pro delší výdrž na baterie Bezpečnostní zásady SmartDiscover Přehled Jak funguje Konfigurace Globální adresář Jak vytvořit GAL Technologie SmartSync
Dokumentace Exchange ActiveSync Obecné Exchange ActiveSync (zkráceně EAS) je proprietární aplikační protokol pro bezdrátovou synchronizaci dat, vyvinutý společností Microsoft původně pro vlastní platformu Microsoft Exchange. Společnost IceWarp získala oficiální licenci implementovat a nabízet tento protokol v rámci svého produktu s cílem nativní podpory moderních koncových zařízení typu Apple iPhone a veškerých zařízení s operačním systémem Windows Mobile případně starší PocketPC platformy. IceWarp Server tak může nabídnout úplnou synchronizaci dat oproti podporovaným zařízením. Díky zabudované podpoře odpadá i nutnost instalovat synchronizační software, což přispívá efektivnímu zavedení mobilního řešení a zároveň přináší mnohé funkce oproti alternativní technologii SyncML. Exchange ActiveSync je optimalizovaný pro sítě s vysokou latencí a nízkou přenosovou rychlostí, tedy typických okolnostech mobilních dat. Protokol samotný je předáván na úrovni HTTP ve formátu XML a dovoluje uživatelům centralizovaný přístup ke všem důležitým datům uloženým na IceWarp serveru. S ActiveSyncem mohou mobilní zařízení přistupovat k emailům, kalendářům, adresářům a seznamům úkolů a mít je k dispozici také pro použití off-line. Abychom předešli běžnému nedorozumění, je předesíláme, že aplikace ActiveSync (Communication Center ve Windows Vista a Windows 7) používá zcela odlišný komunikační protokol na bázi XML, který je ovšem určen výhradně pro synchronizaci lokálně připojených zařízení (přes Bluetooth, nebo kabelem přes RS232 či USB). Podobně je tomu s iSync a iTunes aplikacích v systému Mac OS X, který také používá svůj vlastní protokol na bázi SyncML pro synchronizaci dat se zařízením připojeným k počítači uživatele. Ani jeden z protokolů není IceWarp serverem podporován, neboť pro vzdálenou sychronizaci nemá žádný význam. Ochranné známky a prohlášení o podpoře Windows, Vista, Exchange, SQL Server, ActiveSync, AutoDiscover, DirectPush, RemoteWipe jsou registrované ochranné známky společnosti Microsoft. Blackberry, BIS (Blackberry Internet Service), BES (Blackberry Enterprise Server) jsou registrované ochranné známky společnosti Research In Motion. iPhone, iSync, Mac, OS X jsou registrované ochranné známky společnosti Apple. Symbian je registrovaná ochranná známka společnosti Symbian Software. Palm, Palm OS, WebOS jsou registrované ochranná známka společnosti Palm. Android je registrovaná ochranná známka společnosti Google. Nokia for Exchange je registrovaná ochranná známka společnosti Nokia. NotifySync je registrovaná ochranná známka společnosti Notify. AstraSync je registrovaná ochranná známka společnosti MailSite Software. Moxier je registrovaná ochranná známka společnosti Emtrace Technologies. MySQL je registrovaná ochranná známka společnosti MySQL AB. Pro podporu výše zmíněných produktů (s výjimkou implementace Exchange ActiveSync v IceWarp Serveru), pro informace o právních aspektech jejich používání, stejně tak za účelem seznámení se s podmínkami ochrany dat vyplývajících z jejich používání, se obracejte přímo na konkrétní dodavatele nebo navštivte jejich webové stránky a jiné internetové zdroje, kde lze získat více podrobností.
Kompatibilní zařízení Zařízení s vestavěnou podporou pro Exchange ActiveSync: •
Windows CE, PocketPC
•
Windows Smartphone
•
Windows Mobile 5,6
•
Apple iPhone OS X
•
Telefony Nokia na platformě Symbian S60, S90 (některé až v novější verzi firmware)
•
Palm OS 4
•
Palm WebOS
•
Google/HTC Android 2.0 (vybrané modely i ve starší verzi)
Pokud chybí nativní podpora Exchange ActiveSyncu, lze na zařízení doinstalovat aplikace třetích stran, které synchronizaci umožní: •
Starší verze Nokia N Series, E Series, S60 v3: Mail for Exchange (zdarma ke stažení ze stránek Nokia)
•
Symbian S60/S80/S90/UIQ: DataViz RoadSync
•
BlackBerry: Notify Corp NotifySync (OS 4.0 a vyšší), MailSite Software AstraSync (OS 4.2 a vyšší – jen pro řady 8xxx, 9xxx)
•
Android OS 1.x: Exchange od Touchdown nebo Moxier Mail od Emtrace Technologies
•
Motorola s podporou Java MIDP 2.0: DataViz RoadSync
Vlastnosti EAS umožňuje synchronizaci následujících typů dat (ne všechny typy jsou vždy podporovány aplikačním software přítomným v zařízení): •
Emaily
•
Kontakty
•
Kalendáře
•
Úkoly
•
Technologie DirectPush funguje jak pro okamžitou synchronizaci nových emailů, tak pro kontakty, kalendáře a úkoly
IceWarp Exchange ActiveSync navíc přináší: •
•
synchronizace kompletní struktury složek •
a to včetně sdílených a veřejných složek
•
zobrazuje všechny složky tak jako webový klient nebo Outlook
•
poradí si i s více složkami stejného typu (pokud to zařízení podporuje, lze mít např. oddělené kalendáře)
•
u jiných zařízení lze zvolit která složka se bude synchronizovat
správa složek (pouze na platformě Windows Mobile 6.0 a vyšší)
•
přídání/smazání/přejmenování/přesun složek v rámci struktury ůčtu
•
kompletní emailové funkce (odesílání, odpovídání, přeposílání, označení jako nečtené/přečtené apod.)
•
správa příloh (také na platformě Windows Mobile)
•
uživatelsky definované filtry
•
•
•
•
zpětně omezená synchronizace emailů– pouze zprávy ne starší než zadaný počet dnů
•
emailové filtry – pouze zprávy do dané velikosti, pouze zprávy bez přílohy apod.
•
zpětně omezená synchronizace kalendářů – pouze záznamy ne starší než zadaný počet dnů
•
zpětně omezená synchronizace úkolů – pouze úkoly označené jako nesplněné
správa zařízení a vzdálené smazání •
výpis všech připojených zařízení podle domény či uživatele včetně konkrétního typu zařízen
•
funkce RemoteWipe pro vzdálené smazání veškerých dat na odcizeném nebo ztraceném zařízení
vyhledávání v globálním firemním adresáři (GAL, Global Address List) pro hledání kontaktů podle jména
ve spolupráci se serverovou částí SmartDiscover zjednodušuje konfiguraci na straně uživatele na zadání emailové adresy a hesla inteligentní zotavení ze situací, kdy by vlivem kolísavého signálu mohlo dojít ke ztrátě dat právě přenášených na server
plánování schůzek pomocí pozvánek a akcí přijmout/zamítnout •
•
•
technologie SmartSync •
•
pro automatické doplňování emailových adres
technologie AutoDiscover •
•
•
pouze schůzky vytvořené ve webovém klientu nebo klientu IceWarp Desktop
bezpečnostní politiky •
bezpečnostní politiky k prosazení ochrany zařízení heslem, síly hesla, nastavení počtu neůspěšných pokusů odemknutí přístroje umožňuje offline smazání veškerých dat pro případ zneužití
Omezení v aktuální verzi •
plná podpora pouze v revizi EAS 2.5, zařízení s podporou revize 12.1 jsou zpětně kompatibilní (safe mode)
•
z revize EAS 12.0 je implementován AutoDiscover a podpora příloh
•
z revize EAS 12.1 je implementována pouze obálka (základní synchronizační metody)
•
není implementován formát pozvánek na schůzku TNEF (týká se pozvánek vytvořených v aplikaci Outlook), podpora je omezena na pozvánky vytvořené přímo na zařízení, webovým klientem WebClient nebo aplikací IceWarp Desktop
•
není implementována většina metod revize EAS 12.1 (ekvivalentní Exchange 2007: S/MIME funkce pro kvalifikované ověření odesílatele a dekryptování zašifrovaných zpráv, hromadné stahování příloh, rozšířená sada bezpečnostních politik, získání zapomenutého hesla, logické operátory ve vyhledávání)
•
nelze nastavit automatický odpovídač
•
zprávy v HTML nejsou na platformě Windows Mobile zobrazeny v plném formátování, ale jsou automaticky převedeny na obyčejný text (což usnadní čtení a sníží přenos dat)
Výhody bezdrátové synchronizace •
nevyžaduje žádný middleware
•
žádná instalace aplikací a připojování kabelem
•
žádné měsíční poplatky za užívání
Srovnání s technologií SyncML •
velká škála zařízení s nativní podporou
•
funkce pro správu zařízení
•
push na TCP/IP vrstvě bez nutnosti SMS
•
přístup ke sdíleným složkám
•
umožňuje synchronizovat více složek stejného typu
Výhody technologie DirectPush •
okamžítá notifikace příchozích zpráv
•
vhodná pro pomalejší datová připojení (GSM, WAP, EDGE)
•
zprávy se stahují na pozadí od chvíle kdy přijdou na server
•
žádné poplatky za odeslané SMS push notifikace
Výhody technologie SmartSync •
bezchybně dokončí synchronizaci kde by jiné servery vynucovaly úplnou resynchronizaci
•
spoří množství přenesených dat, čas i baterii
•
zajišťuje konzistenci dat a řeší možné konflikty
•
předchází nekonečným smyčkám při problematické konektivitě
•
určená nejen do sítí/oblastí s horší kvalitou datových přenosů
Přístup do GroupWare z mailu •
lze nahlédnout na soubory, poznámky a úkoly přímo v emailové aplikaci
•
data jsou synchronizována jedním směrem ze serveru na zařízení jakožto emaily s přílohou
•
překonává omezení velikosti příloh
•
nevyžaduje žádné dodatečné aplikace
•
funguje ihned, snadná konfigurace
•
přenosy jsou zajištěny šifrováním SSL
Kompatibilní zařízení (nativně) Windows Mobile
iPhone 2G/ 3G
Windows PocketPC
Nokia E Series
Palm OS 4, 5
Palm WebOS
Nokia N Series
Windows Smartphone Vyžaduje plugin
ne
ne
ne / MFE
ne
ne
Email
•
•
•
•
•
Kalendář
•
•
•
•
•
Kontakty
•
•
•
•
•
Úkoly
•
-
•
•
•
DirectPush
• **
•
•
•
•
Časový plán funkce push (špička/mimo špičku)
-
-
•
-
-
Vyhledávání v GAL
•
•
•
•
•
Podsložky
•
• ***
-
-
•
Správa složek
6.x
-
-
-
-
Filtry pro email/
•/•/•
•/•/-
•/•/•
•/•/-
•/•/•
AutoDiscover
• **
•
-
-
-
RemoteWipe
•
•
•
-
-
Bezpečnostní politiky
•
•
•
-
-
iMIP (plánování schůzek)
•
•
•
•
-
kalendáře/ úkoly/
Kompatibilní zařízení (nenativně)
Android
Android
BlackBerry
BlackBerry
Symbian
TouchDown
Moxier
NotifySync
Astrasync
S60, S80, S90, UIQ RoadSync
Vyžaduje plugin
ano
ano
ano
ano
ano
NitroDesk TouchDown
Moxier Mail
NotifySync
AstraSync
DataViz** RoadSync
Email
•
•
•
•
•
Kalendář
•
•
•
•
•
Kontakty
•
•
•
•
•
Úkoly
•
•
•
-
-
DirectPush
•
•
•
•
Časový plán funkce push (špička/mimo špičku)
•
•
•
•
•
Vyhledávání v GAL
•
•
•
•
•
Podsložky
•
•
•
•
-
Správa složek
-
-
-
-
-
Filtry pro email/
•/•/•
•/•/•
•/•/-
•/•/-
•/•/-
AutoDiscover
-
•
-
3.x a vyšší
-
RemoteWipe
•
-
•
3.x a vyšší
•
Bezpečnostní politiky
•
-
•
3.x a vyšší
•
iMIP (plánování schůzek)
•
-
•
3.x a vyšší
•
kalendáře/ úkoly/
• dostupné - nedostupné * Podpora technologie DirectPush je dostupná pouze na PDAs a chytrých telefonech od verze operačního systému Windows Mobile 5.0 s aktualizací Messaging and Security Feature Pack (MSFP/AKU2) a vyšší (Windows Mobile 6.x). Pro správné fungování metod DirectPush a AutoDiscover je třeba na zařízení povolit zabezpečení SSL a na serveru použít certifikát od kvalifikované certifikační autority. Viz kapitola Šifrování SSL na platformě Windows Mobile.
** Klientem RoadSync jsou již z výroby vybaveny vybrané modely LG, Nokia, Samsung a Sony Ericsson nebo může být doinstalován na většinu zařízení s operačním systémem Symbian. RoadSync je také dostupný pro starší verze Androidem poháněných zařízení T-Mobile a HTC. RoadSync (omezený na synchronizaci emailů) je také dostupný jako Java MIDP 2.0 aplikace pro telefony Motorola (RAZR, KRZR…) a starší zařízení na platformě Palm OS. *** iPhone narozdíl od Windows Mobile umožňuje synchronizovat více složek stejného typu v aplikacích Mail, Kontakty, Kalendář, ale na druhou stranu neumí složky přejmenovat, mazat nebo přesouvat.
V této příručce dále najdete: Nastavení serveru Bezpečnostní politiky Šifrování SSL na platformě Windows Mobile Nastavení na zařízení Řešení potíží Přístup do GroupWare z mailu Doporučení pro delší výdrž na baterie Bezpečnostní zásady SmartDiscover Globální adresář SmartSync
Nastavení serveru Nastavení Exchange ActiveSync na serveru je triviální záležitostí, protože vše potřebné bylo již zkonfigurováno pro služby web serveru a administrace je tak z pohledu primárního nastavení vcelku jednoduchá. 1. 2.
V dialogu Pomoc – Licence, zkontrolujte, zda máte aslepoň jednu nevyexpirovanou uživatelskou licenci pro ActiveSync. Jestliže je ve sloupci Aktualizace vyprší záporné číslo, znamená to, že licence (ať už plná nebo zkušební) vypršela a je nutné obstarat si její aktualizaci. V dialogu GroupWare - Obecné - Push Server se přesvědčte, že služba Push je zapnuta volbou Aktivní a že jí přidělený síťový port nekoliduje s jinou službou v rámci serveru. V opačném případě zde změňte číslo portu na jiné, neobsazené. Povolit tento port na firewallu je obvykle zbytečné, služba je používána jen lokálně samotným serverem.
Pokud nechcete využívat technologii ActiveSync DirectPush ani SyncML SMS Push na žádném zařízení v rámci serveru, například z důvodů nižších datových přenosů a úspory baterií, je možné nechat službu Push vypnutou, synchronizace na ní nezávisí. 3.
V okně Systém – Služby, zkontrolujte, že běží služba webového serveru označená jako Control.
Vyberte ji a klepnutím na tlačítko Možnosti otevřete podrobná nastavení. Zkontrolujte, že je základní port je nastavena na standartní port 80 (HTTP). Pokud tomu tak není, změňte nastavení na port 80. Jestliže po provedení změn nelze službu Control vůbec spustit, je v kolizi s jinou aktuálně běžící službou na stejném portu (typicky Microsoft IIS, Apache), kterou bude nutné přesunout na jiný port.
ActiveSync nebude na většině zařízení pracovat správně, pokud služba webového serveru Control běží na jiném než standartním portu 80. 4. 5.
6.
7.
8.
9.
Pro správnou funkci vyhledávání v globálním seznamu kontaktů GAL, je třeba mít aslespoň jednu veřejnou složku (skupinu) označenou jako GAL, jinak bude výchozí adresář GAL sestaven ze všech uživatelů na serveru. Více v kapitole Globální adresář GAL. Zapněte šifrované spojení přes SSL na standartních portech pro službu IMAP (port 587) and Control (port 443), opět v okně Systém – Služby. Šifrování SSL zabezpečí veškeré adresy, hesla, emaily a další data během přenosu mezi zařízením a serverem. Pro službu IMAP je zmíněné číslo portu pouze doporučené, může tedy běžet na jakémkoli jiném portu aniž by to ovlivnilo funcki ActiveSyncu. V uzlu Web server otevřete nastavení web stránky Výchozí nebo jiné akutálně používané stránkz a v záložce Skriptování se ujistěte o existenci konfiguračních záznamů pro rozšíření [activesync] a [autodiscover], které musí být namapovány na knihovnu php\php.dll. Normálně se tyto záznamy samy vytvoří při upgrade na verzi 10, pokud předtím chyběly. Více informací je v kapitole Řešení potíží (na straně ). V části GroupWare - ActiveSync zapněte ActiveSync zaškrtnutím volby Aktivní. Důležité: neměňte nastavení adresy URL ani nepřidávejte jiné číslo portu. Pouze ověřte, že část hostname odpovídá adrese vašeho serveru, ze které je přístupný z internetu. Změny provádějte jen v případě, že je to nutné pro zvláštní účely (např. vynucení spojení SSL). Pod tlačítkem Přístupový mód, zvolte Všechny účty nebo Použít nastavení domény/účtu, podle možností dané licencí. Pro začátek je možné zvolit všechny, licence budou postupně přidělovány tak jak budou uživatelé službu ActiveSync využívat, a po vyčerpání licencovaného počtu budou další moci používat ActiveSync ve zkušební době sedmi dnů, přičemž administrátor bude upozorněn emailem, že je třeba pro ně licenci dokoupit, nebo pro ně službu deaktivovat. Pokud se rozhodnete pro druhou možnost, ujistěte se, že služba ActiveSync je aktivní pro konkrétní uživatele v části Správa účtů– uživatel nebo doména – Služby. Pro správnou funkci technologie AutoDiscover, zkontrolujte její nastavení na straně serveru v části Systém - Služby – SmartDiscover, tedy zda vyplněná URL přesně odpovídá adrese URL v části ActiveSync. Více v kapitole SmartDiscover.
Opět je třeba mít správně nastavený port pro spojení s šifrováním SSL, tedy v části Systém Služby - Control - Možnosti musí být SSL port webové služby přiřazen na 443 (HTTPS). AutoDiscover jinak nebude na mobilních zařízeních fungovat. 10. Pro správnou funkci technologií AutoDiscover a DirectPush napříč zařízeními, doporučujeme na server nainstalovat digitální SSL certifikát pocházející od ověřené certifikační autority jako např. Verisign.
Referenční tabulka
Položka
Popis
Aktivní
Zapne službu ActiveSync.
URL
Adresa URL je složena ze: •
Jména serveru nebo aliasu: např. mail.icewarpdemo.com
Jméno serveru (hostname či alias) musí přesně odpovídat, jinak nebude služba ActiveSync dosažitelná. Všimněte si, že čísla implicitních portů (80 pro HTTP, 443 pro HTTPS) se zde neuvádějí. Jiné číslo portu lze specifikovat za jménem serveru oddělením dvojtečkou, v závislosti na nastevní služby Control, to se však pro normální fungování služby ActiveSync nedoporučuje (některá zařízení nepodporují spojení na jiných portech). •
Cesty specifikované Microsoftem: Microsoft-Server-ActiveSync
Pozn.: Tuto část za žádných okolností neměňte. Cesta je zde zobrazena jen pro úplnost, chcete-li ověřit probíhající spojení k webovému serveru v záznamech logu. Cesta rozlišuje spojení ActiveSync od jiných webových služeb a implicitině ji používá každé kompatibilní zařízení. Část URL je tudíž zcela zbytečné zadávat při konfiguraci na straně zařízení, to může jedině přivodit problémy. Přístupový mód
Stiskem tlačítka zobrazíte standartní dialog ve kterém lze určit, pro které uživatele či domény bude služba ActiveSync k dispozici.
Správa zařízení
Stiskem tlačítka zobrazíte dialog Přístroje s podporou ActiveSync. V něm se nachází seznam všech zařízení, které se dosud připojily ke službě ActiveSync. Seznam se vyprázdní smazáním databáze ActiveSync. Viz dále v textu.
Tlačítko Globální politika Doménová politika Uživatelská politika
Popis / /
Stiskem tlačítka zobrazíte dialog pro nastavení bezpečnostní politiky na úrovni serveru/domény/uživatele, kontextově podle toho, z které části administračního rozhranní je dialog vyvolán. Více informací je v kapitole Bezpečnostní politika.
Nastavení politiky
Stiskem tlačítka zobrazíte dialog pro nastavení bezpečnostní politiky na úrovni zařízení, pro zařízení vybrané ze seznamu. Více informací hledejte v kapitole Bezpečnostní politika.
Odebrat zařízení
Stiskem tlačítka odstraníte vybrané zařízení ze seznamu. Tím dojde k odebrání zařízení ze seznamu na všech úrovních a při dalším pokusu o synchronizaci se na zařízení vynutí resynchronizace veškerých dat. Tímto
způsobem lze vyřešit případný problém s jedním zařízením, aniž by to ovlivnilo ostatní uživatele. Vzdálený výmaz
Stiskem tlačítka vyšlete povel RemoteWipe na vybrané zařízení. Akci smazání všech dat na zařízení bude poté nutno ještě jednou potvrdit. Jakmile je povel RemoteWipe zahájen, o stavu jeho provádění jste informováni ve sloupci Stav. Seznam zařízení se v průběhu provádění povelu Remote Wipe automaticky obnovuje. Nepodporované znamená, že povel RemoteWipe není zařízením podporován a tedy nemůže být uplatněn (obvykle takové zařízení nepodporuje ani nastavení bezpečností politiky). Čekající znamená, že povel byl zahájen, ale bude vyslán až při nejbližší synchronizaci s daným zařízením (technologie DirectPush není aktivní, takže povel nemůže být vyslán ihned). Jakmile dojde k úspěšnému vykonání povelu RemoteWipe, zařízení je odebráno ze seznamu a systém o této skutečnosti informuje potvrzujícím emailem posledního uživatele zařízení (a v kopii též administrátora serveru). Oznámení sděluje, že veškerá data na zařízení, včetně uživatelského profilu, byly úspěšně smazány a nemůže tak dojít k jejich zneužití. Zařízení se v seznamu znovu objeví po první úspěšné synchronizaci, za předpokladu, že na něm uživatel znovu zkonfiguruje svůj uživatelský profil. Všimněte si, že povel RemoteWipe je vázán na konkrétní zařízení, stejný uživatel může mezitím synchronizovat sekundární zařízení, zatímco je povel Remote Wipe v účinnosti (ve stavu Čekající) pro primární zařízení.
Odvolat výmaz
Stiskem tlačítka zrušíte předtím zahájený povel Remote Wipe. Své rozhodnutí musíte ještě jednou potvrdit. Povel Remote Wipe lze zrušit jen tehdy, je-li ve stavu Čekající a nebyl tedy ještě vykonán. Pokud zařízení používá okamžitou synchronizaci technologií DirectPush, Remote Wipe bude vykonán ihned a k jeho případnému zrušení nebude možnost.
Bezpečnostní politiky Bezpečnostní politiky se aplikují na kompatibilní zařízení synchronizující data s IceWarp serverem přes protokol ActiveSync, čímž představují účinný nástroj pro ochranu citlivých dat, uložených na zařízení, jako jsou emaily, kontakty, záznamy v adresáři a v podstatě všechny uživatelsky vytvořená nastavení a údaje. Pokud jsou nastaveny globálně, server vynutí jejich uplatnění na veškerá zařízení dříve, než jim začne cokoliv posílat a v případě, že byly na zařízení aplikovány nově, jsou vynuceny počínaje další manuální nebo automatickou synchronizací. Doporučujeme jejich globální používání v rámci celé organizace jak je to jen možné. Zařízení které je nepodporují nebo jen zčásti je dobré vyměnit za kompatibilní modely nebo u nich provést firmware upgrade na nověší verzi, která plnou podporu přináší (např. Microsoft Feature Pack pro Windows Mobile 5.0). Jejich používání v kombinaci s technologií vzdáleného výmazu (Remote Wipe) tak významně snížíte možnosti útočníka získat podniková data z odcizeného mobilního přístroje. V součinosti se zamykáním přístroje heslem, je důrazně doporučována také možnost lokálního výmazu (Local Wipe) po vyčerpání zadaného počtu neúspěšných pokusů o odemčení přístroje. Potenciální útočník tak nemá dostatek možností k uhodnutí hesla, a veškerá data jsou smazána po vyčerpání nastaveného počtu pokusů, což je užitečné zejména v případě, že zařízení je mimo signál nebo přípojení k síti není dostupné, takže nelze přijmout povel Remote Wipe pro vzdálený výmaz. Další z výhod bezpečnostních politik je skutečnost, že narozdíl od jiných řešení pro ochranu dat jejich průběžným šifrováním, nemají žádný dopad na odezvu zařízení ani životnost baterie, ikdyž jsou ze serveru pravidelně vynucována v nastaveném intervalu. Na obrázcích níže jsou vidět uživatelsky definované bezpečnostní zásady na platformě Windows Mobile a Apple iPhone. Jakmile jsou prvky bezpečnosti vynucovány bezpečnostní politkou, uživatel je může pouze přijmout, avšak nemůže změnit jejich nastavení. Windows Mobile
Apple iPhone
Settings – Personal – Lock
Settings – General – Passcode Lock
Lokální a vzdálený výmaz Ztráta nebo odcizení mobilního zařízení představuje pro jakoukoli společnost vysoké bezpečnostní riziko v souvislosti s přístupem do systémů, ochrany duševního vlastnictví a know-how, a z toho vyplývajících ztrát finančního charakteru. Není výjimkou, že na mobilních zařízeních přechováváme citlivé údaje obchodního styku, včetně osobních údajů a dalších dat identifikovatelných s konkrétními projekty a osobami, zaměstanci, zákazníky, vedle důvěrných emailů, příloh zpráv obsahujících interní dokumenty a řady dalších položek. Díky bezpečnostním prvkům Exchange ActiveSyncu lze riziko s tím spojené účinně omezit. Lokální nebo vzdálený výmaz uvede zařízení do stavu po vybalení z krabice, tedy nenávratně smaže veškerá data, aplikace a uživatelská nastavení. Výmaz je v obou případech implementován tak, že přepisuje paměť zařízení neměnným bitovým vzorem, což velmi znesnadňuje případné pokusy o obnovení původních dat. Pozn.: Výmaz zařízení na platformě Windows Mobile zahrnuje také smazání dat z paměťové karty. Čas potřebný k dokončení výmazu celé paměti na Apple iPhone může dosahovat až téměř k jedné hodině, kdy je zařízení jakoby ve stavu načítání systému.
Lokální výmaz Lokální výmaz zařízení se vyvolá automaticky, pokud uživatel nezadá správné heslo k odemčení zařízení víckrát, než je povoleno (implicitní hodnota je po osmém pokusu, ale administrátor tento počet může snížit nebo zvýšit). Po několika nesprávných pokusech zařízení vyzve uživatele k opsání několika znaků z obrazovky (většinou je to řetězec "a1b2c3"). Toto opatření brání tomu, aby si uživatel nevědomě smazal svůj přístoj náhodnými stisky kláves, když jej např. nechá s odemčenou klávesnicí v kapse a podobně. Po opsání kódu lze pokračovat v zadání hesla, jakmile je počet pokusů vyčerpán, zařízení bezodkladně zahájí formátování obsahu paměti.
Vzdálený výmaz Vyvolat vzdálený výmaz může pouze administrátor systému na žádost užívatele, přes administrační rozhranní v seznamu Zařízení ActiveSync. Vzdálený výmaz je nezávislý na nastaveních lokálního výmazu a je možné jej vyvolat i v případě, že zařízení nemají nastavenou žádnou bezpečnostní politiku, typicky však zařízení podporují obojí nebo ani jednu možnost. Příkaz vzdáleného výmazu je do zařízení vyslán mimo kontrolu uživatele přístroje a je vykonán ve chvíli, kdy se zařízení připojí k serveru za účelem synchronizace. Uživatel tedy nemůže jeho vykonání nijak ovlivnit.
Potvrzení emailem Jakmile dojde k úspěšnému vykonání povelu RemoteWipe, systém o této skutečnosti informuje potvrzujícím emailem posledního uživatele zařízení (a v kopii též administrátora serveru). Oznámení sděluje, že veškerá data na zařízení, včetně uživatelského profilu, byly úspěšně smazány a nemůže tak dojít k jejich zneužití. Zařízení, která nepodporují bezpečnostní politiky, neumějí ani vzdálený výmaz, na což je administrátor upozorněn tím, že ve sloupci Vzdálený výmaz v seznamu Zařízení ActiveSync se objeví status Nepodporované. Správce systému musí (dle uvážení) explicitně vyjmout taková zařízení z bezpečnostních politik aby vůbec byla připuštěna k synchronizaci dat se serverem a poučit uživatele takových zařízení, aby sami aktivovali bezpečnostní funkce alespoň lokálně, jako je ochrana zařízení heslem a lokální výmaz po deseti neúspěšných pokusech.
Jak definovat bezpečnostní politiku Bezpečnostní politika může být definována zvlášt na úrovni serveru, domény, uživatele nebo i pro konkrétní zařízení (poslední možnost je určena spíše pro možnost vyjmout nekompatibilní zařízení z politiky definované na vyšší úrovni), politika tím nabývá účinnost dědičným způsobem na všech nižších úrovních, i pro nové uživatele a prvně připojená zařízení. Po instalaci serveru není definována žádná politika. Všimněte si, že v titulku okna Zařízení ActiveSync je zobrazena konkrétní doména nebo uživatel, na kterého se právě zobrazená politika vztahuje.
Politika na úrovni serveru GroupWare – ActiveSync – Zařízení ActiveSync… – Globální politika… Politika na úrovni serveru se vztahuje na všechny stávající i nově vytvořené domény, uživatele a zařízení připojující se k serveru, nestanoví-li jinak politika z nižší úrovně.
Výchozí politika Po instalaci není zavedena žádná politika, což znamená, že kompatibilní zařízení při synchronizaci obdrží takzvané "neutralizační opatření", tedy politiku která ruší účinnost předešlého nastavení a vrací zařízení do výchozího stavu, kdy si bezpečnostní funkce může ovládat sám uživatel, včetně možnosti je vypnout úplně. Obrázek ukazuje nastavení této neutrální nebo výchozí politiky, která se automaticky nastaví při použití volby Zdědit (v okně Globální politika na úrovni serveru): •
vypne ochranu zařízení heslem*
•
nastaví délku hesla na libovolnou
•
povolí použití jak alfanumerického, tak čistě numerického hesla
•
umožní uživatelsky změnit dobu nečinnosti před dotazem na heslo z výchozích pěti minut na libovolný čas
•
dovolí uživateli deaktivovat lokální výmaz anebo změnit výchozí počet neúspěšných pokusu po nichž k výmazu dojde
•
ukončí pravidelné zavádění této politiky do zařízení
•
k synchronizaci budou připuštěna všechna zařízení, ať už funkce bezpečnostní politiky podporují plně, částečně nebo vůbec, to se hodí k sestavení seznamu zařízení používaných v organizaci a následnému zavedení přísnějších pravidel dle konkrétních zařízení a uživatelů
* Než může uživatel případné heslo zámku změnit nebo vypnout, musí správně zadat stávajícího heslo.
Politika na úrovni domény Domény & Účty – Správa – <doména> – Služby – Zařízení ActiveSync… – Doménová politika… Dialog slouží ke konfiguraci bezpečnostní politiky pro vybranou doménu (s účinností na podřízené úrovně, nestanoví-li konkrétní nižší politika jinak), lze také vyjmout celou doménu z účinnosti serverové politiky vypnutím volby U přístroje vyžadovat heslo. Vybráním konkrétního zařízení ze seznamu Zařízení ActiveSync a stiskem tlačítka Nastavení politiky (nebo poklepáním na položku v seznamu) otevřete dialog pro nastavení politiky jednoho konkrétního zařízení.
Politika na úrovni uživatele Domény a Účty – Správa – doména – Služby – Zařízení ActiveSync… – Uživatelská politika… Dialog slouží ke konfiguraci bezpečnostní politiky pro vybraný účet (s účinností na všechna zařízení uživatele, nestanoví-li jinak politika konkrétního zařízení), lze také vyjmout daný účet z účinnosti serverové nebo doménové politiky vypnutím volby U přístroje vyžadovat heslo. Vybráním konkrétního zařízení ze seznamu Zařízení ActiveSync a stiskem tlačítka Nastavení politiky (nebo poklepáním na položku v seznamu) otevřete dialog pro nastavení politiky jednoho konkrétního zařízení.
Politika na úrovni zařízení Bezpečnostní politika specifická pro zařízení je zvláštní tím, že může být definována až poté, co se zařízení pokusí o synchronizaci se serverem (tj. známe jeho ID zařízení, které jej jednoznačně určuje a odlišuje tak více stejných zařízení jednoho uživatele). GroupWare – ActiveSync – Zařízení ActiveSync… Uživatel a Typ přístroje – Nastavení politiky… nebo Domény & Účty – Správa – doména – Služby – Zařízení ActiveSync… – Uživatel a Typ přístoje – Nastavení politiky… nebo Domény & Účty – Správa – účet – Služby – Zařízení ActiveSync… – Uživatel a Typ přístoje – Nastavení politiky…
nebo Na kterékoli úrovni, poklepáním na položku v seznamu Zařízení ActiveSync otevřete dialog pro nastavení politiky jednoho konkrétního zařízení. Dialog slouží ke konfiguraci bezpečnostní politiky pro vybrané zařízení, lze také vyjmout konkrétní zařízení z účinnosti politiky na úrovni serveru, domény nebo uživatele vypnutím volby U přístroje vyžadovat heslo. Tato možnost nalezne největší využití v případech, kdy uživatel má ke svému účtu přiřazeno více různých zařízení a vy chcete z nastavené politiky dočasně jedno (nekompatibilní) zařízení vyjmout, zatímco ostatní zařízení mají nadále dodržovat nastavenou politiku, jakož i další zařízení co si k účtu v budoucnosti uživatel pořídí.
Dědičnost politik Politiky nižších úrovní upravují a zpřesňují obecnější politiky z vyšší úrovně. Nastavení z vyšší úrovně se automaticky dědí směrem dolů a ovlivňuje ty domény, účty a zařízení, na kterých nebyla předtím administrátorem zavedena jiná politika. Pakliže byla, tlačítkem Zdědit v dialogu předtím upravené politiky ji lze přepsat nastavením z vyšší úrovně (nadále se do ní promítnou všechny změny učiněné na vyšší úrovni, na principu dědičnosti). Že dědičnost funguje lze snadno ověřit- když si prohlédnete nastavení politiky na úrovni domény, uvidíte, že nastavení daná na úrovni serveru jsou zapnutá i pro doménu, a podobně mezi úrovněmi doména - uživatel a uživatel - zařízení. Všimněte si, že v záhlaví okna Zařízení ActiveSync je zobrazena informace, zda je tato bezpečností politika zděděná z výchozí, serverové, doménové nebo uživatelské politiky, nebo zda byla na této úrovni upravena- v takovém případě nabízí možnost politiku zdědit z nejbližší nadřazené úrovně. Další možnost jak zjistit, že daná politika je zděděná z vyšší úrovně, je podle tlačítka Zdědit - když je neaktivní, politika nebyla upravená a je již zděděná z vyšší úrovně nebo používá výchozí nastavení. Když je aktivní, znamená to, že politika byla na této úrovni (domény, uživatel nebo zařízení) administrátorem upravena a je možné tyto změny odvolat zděděním nastavení z vyšší úrovně.
Souhlas s politikou Politika nastavená na serveru se do zařízení přenese těsně před následující synchronizací, okamžitě v případě použití technologie DirectPush, včetně úplně první synchronizace po zkonfigurování profilu ActiveSync na zařízení. Jakmile zařízení politiku přijme, vyzve uživatele k odsouhlasení nově zavedené nebo změněné bezpečnostní politiky, s možností politiku nepřijmout. Pokud uživatel nesouhlasí a politiku odmítne, nebude moci nadále synchronizovat data oproti serveru, který tak na nezabezpečené zařízení nebude nadále posílat žádné další data. Ve chvíli kdy uživatel politiku přijme, jediná možnost jak se vyhnout její účinnosti je tvrdý reset zařízení, což kromě všech dat vymaže i konfigurační profil ActiveSync.
Podobné potvrzovací dialogy se zobrazí také v případě, že se změní například politika týkající se délky hesla, poté je uživatel vyzván k nastavení nového hesla dle požadovaných parametrů.
Potvrzení emailem Pokud uživatel novou či změněnou politiku nepřijme, nebo aplikovaná politika není zařízením podporována a do doby než bude pro zařízení vytvořena výjimka tak není možné takové zařízení synchronizovat (viz dialog Zařízení ActiveSync, ve sloupci Vzdálený výmaz bude v takovém případě status Nepodporované), uživatel zařízení (a správce systému v kopii) je informován emailem, že zařízení nebylo připuštěno k synchronizaci.
Výjimky pro nekompatibilní zařízení Pro starší nebo s bezpečnostními politikami nekompatibilní zařízení, které by díky účinnosti bezpečnostní politiky definované na vyšší úrovni nebylo možné synchronizovat, může administrátor stanovit výjimku upravením konkrétní politiky. Tím povolí přístup ze starších zařízení (např. na platformě Windows Mobile 5.0 bez aktualizace Feature Pack, pro přístroje značky Palm a jiné), do té doby, než dojde k výměně těchto zařízení za nové, přičemž stávající politiky zůstavají v platnosti pro všechna ostatní zařízení, včetně těch, kterými budou vyňatá zařízení nahrazena. Udělit zařízení výjimku lze tak, že v dialogu Nastavení politiky (poklepáním na zařízení v seznamu) zaškrtneme volbu Povolit přístup na zařízení plně nepodporující nastavení hesla. *
Výjimky pro zvláštní uživatele Analogicky lze udělit výjimku na úrovni uživatel nebo domény z přísnější politiky na úrovni serveru resp. domény tak, že přepíšeme výchozí (zděděnou) politiku pro konkrétního uživatele či doménu. Typicky budete chtít vypnout bezpečnostní funkce pro konkrétního uživatele jež o to požádá, ale ponechat bezpečnostní nastavení pro všechny ostatní. Výjimku tak vytvoříte jen pro důvěryhodné uživatele, u kterých je riziko zneužití jejich dat minimální, nebo kteří trvají na používání nekompatibilních zařízení teď i v budoucnu. Mějte však na paměti, že uživatelé z řad managementu, ale i asistenti ve vyšší
pozicích, kteří většinou takové výjimky požadují, nosí na svých zařízeních často vysoce cenné informace, a nejsou tak nejvhodnějšími adepty na udělování výjimek z bezpečnostních opatření. Udělit uživateli výjimku lze tak, že v dialogu Domény & Účty – Správa – <doména> - <účet> – Služby – Zařízení ActiveSync… – Uživatelská politika… zaškrtneme volbu Povolit přístup na zařízení plně nepodporující nastavení hesla. * * Volbu Obnovit nastavení na přístroji (hodin) je vhodné ponechat zapnutou, tím se server pokouší pravidelně bezpečnostní politiku na zařízení prosadit, takže v případě, že nová aktualizace firmware daného zařízení nebo nová verze ActiveSync klienta přinese podporu bezpečnostní politiky, bude politika samočinně aplikována při nejbližší příležitosti. Pokud takový scénář není pravděpodobný, může být tato volba vypnuta.
Jak zrušit nastavenou politiku Zrušit bezpečnostní politiku jednou aplikovanou na zařízení lze poklepáním na něj v seznamu Zařízení ActiveSync a vypnutím volby U přístroje vyžadovat heslo, poté kliknutím na tlačítko OK a následně Použít. Na zařízení je tím vysláno tzv. "neutralizační opatření", blíže popsané zkraje kapitoly Jak definovat bezpečnostní politiku, které ruší účinnost předchozích bezpečnostní politiky. Po navázání synchronizace se serverem (pokud je zapnutý DirectPush tak okamžitě), dojde k přepsání bezpečnostních nastavení podle výchozí bezpečnostní politiky. Pozn.: tím není automaticky zrušen požadavek na heslo pro odemknutí zařízení. Uživatel nejprve musí správně zadat stávající heslo, než může změnit bezpečnostní nastavení nebo úplně zrušit požadavek na heslo pro odemknutí. Pozn.: vypnutím volby U přístroje vyžadovat heslo se na zařízení použije výchozí politika dovolující uživatelské bezpečnostní nastavení, předchozí konfigurace bezpečnostní politiky pro dané zařízení ale zůstává v dialogu uložená (volby jsou zašedlé) a vymaže se až s odebráním zařízení ze seznamu Zařízení ActiveSync použitím volby Odebrat zařízení. Administrátor tak může přehodnotit své rozhodnutí politiku zrušit (nebo když ji zruší omylem) a opět ji v aplikovat v původním rozsahu nastavení.
Referenční tabulka Bezpečnostní politiky Exchage ActiveSync v revizi 2.5 umožňují administrátorovi systému nebo domény vynutit ochranu zařízení heslem, nastavit délku a sílu hesla, nastavit dobu nečinnosti před uzamčením a počet neúspěšných pokusů po kterých dojde k lokálnímu výmazu. Pozn.: V této části je termínem heslo označován kód zámku zařízení, který uživatel musí zadat, aby mohl zařízení vůbec použít. Neplést se SIM PIN nebo heslem k účtu.
Položka
Popis
Politiky se dědí z výchozí/doména/účet úrovně
Podle této Informace v záhlaví se dá na první pohled zjistit, zda jde o politiku specifikovanou administrátorem, nebo politiku zděděnou z jedné z nadřazených úrovní: •
výchozí politika
•
globální politika
•
doménová politika
•
uživatelská politika
Pakliže jde o politiku specifikovanou administrátorem, tedy nikoliv zděděnou, text v záhlaví zní: Pro příkaz k dědění politik z vyšší úrovně klikněte na tlačítko "Zdědit" níže. Pozn.: připomínáme koncept dědičnosti: Dědičnost znamená, že politika z vyšší úrovně (např. z domény) se automaticky promítá do všech nižších úrovní (např. na uživatele). Zároveň pokud není na doméně nastaveno jinak, uživatel zdědí politiku nastavenou na serveru. A tak dále až do výchozí úrovně, na které dědičnost nelze nastavit a zůstává neměnná. Pokud na některé úrovni politiku změníte, máte možnost ji vrátit zpět na hodnoty zděděné z vyšší úrovně tlačítkem Zdědit. U přístroje vyžadovat heslo
Bezpečnostní funkce jsou implicitně na zařízení vypnuté, bezpečnostní kód není třeba zadávat. Zaškrtnutím volby U přístroje vyžadovat heslonastavíme ochranu zařízení heslem, které bude třeba zadat po zapnutí nebo po nastavené době nečinnnosti. Zároveň s tím se zpřístupní podrobnější nastavení bezpečnostní politiky, umožňující určit sílu hesla a další související volby. Vypnutím volby U přístroje vyžadovat heslo dojde k deaktivaci nastavené bezpečnostní politiky na všech zařízeních podle úrovně na které politiku definujete, a uživatelé tak budou moci prvky zabezpečení sami měnit, nebo vypnout úplně.
Minimální délka hesla (znaků)
Zapnutím volby definujete, že délka hesla nebude libovolná, ale bude řízena nastavením bezpečnostní politiky, která umožňuje specifikovat délku hesla. Výchozí nastavení délky hesla jsou 4 znaky. Přípustný rozsah je 2 až 18 znaků. Pokud zadáte číslo mimo přípustný rozsah, automaticky se upraví na nejbližší povolenou hodnotu (2 nebo 18), jakmile přesunete kurzor mimo vstupní pole kliknutím, klávesou Tab nebo opuštěním dialogu tlačítkem OK. Vypnutí volby způsobí, že délku hesla si bude moci uživatel sám zvolit.
Vyžadovat čísla i znaky
Zapnutím volby definujete, že síla hesla nebude libovolná, ale bude řízena nastavením bezpečnostní politiky na serveru, která umožňuje specifikovat, že heslo musí být alfanumerické (obsahovat jak číslice tak písmena). Napříkad při zapnutí volby Vyžadovat čísla i znaky a nastavením volby Minimální délka hesla na 8 znaků způsobí, že uživatelé zařízení na platformě Windows Mobile si budou muset nastavit heslo složené alespoň z pěti písmen a alespoň ze tří číslic. Nebudou moci změnit nastavení Password Type na číselné heslo typu PIN, jako jediná přípustná volba zůstane jen Strong password. Uživatelé zařízení iPhone budou si budou muset zvolit heslo z alespoň osmi znaků v kombinaci písmen a číslic a jednoho speciálního znaku: @%. Vypnutí volby způsobí, že uživatel si bude moci sám zvolit zda pro vytvoření použít číslice, písmena nebo jejich kombinaci, s výjimkou sekvencí typu 1234, 1111, které jako heslo použít nelze. Volba Minimální
délka hesla má vždy vliv na délku hesla, ať je numerické nebo alfanumerické. Doba neaktivity (minut)
Zapnutím volby definujete, že nastavení doby nečinnosti nebude libovolné, ale bude se řídit bezpečnostní politikou, která umožňuje určit dobu nečinnosti v minutách, po které bude uživatel vyzván k zadání hesla. Pokud uživatel použije nějaký ovládací prvek zařízení před uplynutím doby nečinnosti, heslo zadávat nemusí a čas se počítá od znovu. Zadejte požadovanou dobu nečinnosti v minutách (započítává se i pohotovostní režim). Toto nastavení je nezávislé na nastavení zámku klávesnice nebo pohotovostního režimu- pokud je doba nečinnosti nastavená například na 5 minut a zařízení třeba po 2 minutách nečinnosti usne, uživatel po další 1 minutě zařízení zapne a heslo zadávat nemusí. Přípustný rozsah je 0-9999 minut. Pokud zadáte vyšší číslo, uloží se namísto něj nejvyšší hodnota 9999. Výchozí nastavení je 5 minut. 0 znamená, že požadavek na heslo se zobrazí vždy po zapnutí zařízení, nebo po jeho probuzení z pohotovostního režimu. Pokude nejsou nastavené žádné funkce pro úsporu energie a zařízení se nikdy do pohotovostního režimu nedostane, 0 znamená, že heslo bude vyžadováno jen po zapnutí zařízení. Vypnutím volby umožníte, že uživatel si bude moci délku doby nečinnosti zvolit sám (ochranu heslem po zapnutí ale zrušit nemůže).
Vymazat přístroj po selhání (počet pokusů)
Zapnutím volby definujete, že nastavení lokálního výmazu nebude libovolné, ale bude se řídit bezpečnostní politikou, která umožňuje určit počet neúspěšných pokusů, po kterých dojde samočinně k vymazání veškerých dat a uživatelských nastavení na zařízení. Pozn.: pokud se počet nesprávných pokusů blíží k polovině zadané hodnoty, zařízení vyzve uživatele k opsání několika znaků z obrazovky (většinou je to řetězec a1b2c3) než lze pokračovat v zadávání hesla. To brání nechtěnému vyvolání lokálního výmazu a ztrátě všech dat na zařízení, je-li například ponecháno v kapse s neuzamčenou klávesnicí. Zadejte maximální počet neúspěšných pokusů o zadání hesla. Povolený rozsah je 0-99. Pokud zadáte vyšší číslo, uloží se namísto něj nejvyšší hodnota 99. Výchozí nastavení je 8 pokusů. 0 znamená, že lokální reset je na zařízení zakázán úplně, ani uživatel jej nemůže manuálně zapnout. Vypnutím volby umožníte, že uživatel si bude moci maximální počet neúspěšných pokusů zvolit sám. Některá zařízení takové nastavení uživateli umožňují, na jiných taková volba schází a použijí přednastavenou hodnotu 8 nebo 10.
Obnovit nastavení na přístroji (hodin)
Umožňuje zvolit, že bezpečnostní politka se bude na zařízení pravidelně obnovovat v daném intervalu v hodinách. Takové nastavení je vhodné pro případ, že některý pokročilý uživatel, změnou registru nebo jinak, přenastaví či deaktivuje prvky bezpečnostní politiky určené
administrátorem. Díky pravidelné obnově bezpečnostních nastavení se takové uživatelské změny zanedlouho přepíšou podle bezpečnostní politiky na serveru. Zapnutím volby aktivujete pravidelnou obnovu bezpečnostní politiky ve zvoleném intervalu. Vepište dobu v hodinách, po které zařízení před další synchronizací zároveň obdrží administrátorem nastavenou bezpečnostní politiku. Přípustný rozsah je 1-9999 hodin. Pokud zadáte číslo mimo přípustný rozsah, automaticky se upraví na nejbližší povolenou hodnotu (1 nebo 9999). Výchozí nastavení je 24 hodin. Vypnutím volby určíte, že bezpečnostní nastavení se na zařízení aplikují pouze jednou, před první synchronizací (tj. po nakonfigurování účtu pro ActiveSync), nebo zároveň s nadcházející synchronizací, pokud se na něj bezpečnostní politika předtím nevztahovala, nebo pokud ji administrátor změní. Povolit přístup na zařízení plně nepodporující nastavení hesla
Zapnutím volby povolíte synchronizaci i zařízením, která nejsou kompatibilní se všemí prvky bezpečnostní politiky (starší zařízení bez aktualizace MSFP) nebo ji nepodporují vůbec. Tím umožníte synchronizaci obecně všem zařízením, která podporují Exchange ActiveSync. Implicitně je tato volba zapnutá. Vypnutím volby umožníte synchronizaci jen zařízením, která jsou plně kompatibilní s bezpečnostími politikami, ostatní obdrží od serveru chybové hlášení 449 Needs provisioning a přenos jakýchkoli dat ze serveru jim bude znemožněn. Uživatel (a v kopii administrátor primární domény) v takovém případě obdrží email s informací, že zařízení byl odmítnut přístup na server z důvodu nesouladu s bezpečnostní politkou (buď ji nepodporují, nebo uživatel nesouhlasil s jejím použitím).
Zdědit
Stisknutím tlačítka se administrátorem nastavená politika přepíše nastavením z vyšší úrovně (podědí). Informace, z které úrovně se politika zdědí, je uvedena v záhlaví dialogu.
OK
Stisknutím tlačítka OK uložíte nastavenou konfiguraci. Samotná bezpečnostní politika se na zařízení odešle až stisknutím tlačítka Použít. Pokud nedošlo k žádným změnám v nastavení, tlačítko Použít nebude aktivní. Ikdyby se změnila jen dědičnost a tlačítko Použít bylo aktivní, mechanismus rozezná, že efektivně nedošlo k žádným změnám v bezpečnostních nastaveních a tedy nebude znovu na zařízení tatáž nastavení vynucovat- k tomu dojde případně až po uplnytí intervalu, ve kterém dochází k jejich automatickému obnovení.
Zrušit
Stisknutím tlačítka Zrušit zavřete okno dialogu bez uložení změn.
Šifrování SSL na platformě Windows Mobile Požadavky na SSL spojení Pro správnou funkci DirectPush a AutoDiscover na zařízení s Windows Mobile je třeba při konfiguraci účtu aktivovat SSL spojení pro ověření autentičnosti serveru. Dále je nutné zajistit, že server používá SSL certifikát, který zařízení považuje za důvěryhodný- v opačném případě zařízení nenechá uživatele rozhodnout o pravosti certifikátu, samo jej zamítne a SSL spojení nevytvoří. Administrátor má tedy na výběr z několika variant: 1.
(Doporučeno.) Pořiďte si ověřený certifikát vydaný (podepsaný kořenovým certifikátem) uznávanou certifikační autoritou, které zařízení implicitně důvěřuje (viz dále v sekci Důvěryhodné certifikáty na Windows Mobile, nebo na zařízení v seznamu Settings – System – Certificates – Root). Nainstalujte tento certifikát na server. Podrobnosti jak na to naleznete v kapitole Getting a Digital Certificate ve Windows nápovědě (pod tlačítkem F1), pokud v Administrační konzoli otevřete nastavení Systém - Certifikáty.
2.
(Nedoporučuje se.) Pořiďte si ověřený certifikát vydaný certifikační autoritou, který je podepsaný mezilehlým certifikátem od certifikační autority, které zařízení implicitně důvěřuje, což ale znamená, že stále musíte na zařízení dodatečně naimportovat mezilehlý certifikát. (Jen pro zvláštní nebo testovací účely.) Jestliže použijete svůj vlastní self-signed certifikát (bez nadřazené certifikační autority), bude nutné do všech používaných zařízení naimportovat odpovídající kořenový certifikát.
3.
Windows Mobile 5.0 a Windows Mobile 6.x Zvolíte-li možnost č. 1, vyhnete se jakékoli dodatečné konfiguraci zařízení. Zvolíte-li možnost č. 2 nebo č. 3, následující návod vám ukáže, jak do zařízení naimportovat mezilehlý nebo self-signed certifikát. 1. 2. 3. 4. 5.
Pomocí SSL utility vyexportujte kořenový certifikát ve formátu DER kódovaný v X.509, tj. s příponou .cer. Vyexportovaný soubor kořenového/mezilehlého certifikátu přeneste na zařízení, buď do adresáře \Storage připojením kabelem pomocí aplikace ActiveSync (Tools – Explore), nebo na paměťovou kartu vloženou do zařízení. Případně je možné soubor certifikátu poslat emailem přes stávající účet typu IMAP/POP před samotnou konfigurací ActiveSync účtu, přílohu potom uložte do nějaké složky. Nakonec najděte soubor certikátu v aplikaci File Explorer (mobilní verze Průzkumníka), poklepejte na něj a potvrďte, že jej chcete přidat mezi důvěřované certifikáty. Chcete-li ověřit, že byl správně naimportován, jděte do menu Start, vyberte Settings a přepněte se na záložku System - Certificates; ceritifikát bude v seznamu Intermediary nebo Root.
Pozn.: instalace kořenových certifikátu může být zakázána výrobcem zařízení nebo operátorem- v takovém případě je nutné k jeho nahrání použít speciální programové vybavení.
PocketPC/Smartphone 2002 a 2003 Tato starší generace operačního systému ještě neimplementuje technologie DirectPush ani AutoDiscover, přesto je dobré SSL spojení zkonfigurovat kvůli ochraně přenášených dat. Zařízení na platformě PocketPC 2002 a PocketPC 2003 komunikují se serverem ActiveSync výhradně přes spojení SSL (Secure Sockets Layer). Zařízení na platformě Windows Mobile 2003 už nejsou omezena jen na připojení SSL. V každém případě je velmi výhodné připojení SSL použít k ochraně dat a přihlašovacích údajů, které jsou jinak přenášeny v nezakódové podobě, což je dáno samotnou specifikací protokolu (XML formát). Tyto platformy používají rozhraní Microsoft Crypto API (CAPI) k bezpečnému uložení kořenových certifikátů na zařízení, pro import kořenového certifikátu je většinou nutné použít nástroj poskytovaný k tomuto účelu společností Microsoft. Další informace naleznete na stránkách technické podpory společnosti Microsoft, včetně odkazu na stažení zmíněného programového vybavení. http://support.microsoft.com/?id=841060 Pozn.: instalace kořenových certifikátu může být zakázána operátorem od kterého přístroj pochází. Použití utility k importu certifikátu do kořenového úložiště předpokládá, že na zařízení lze spouštět nepodepsané aplikace (Unrestricted Application Security Policy).
Nastavení šifrování SSL pro ActiveSync Zapnutí SSL na platformě Windows Mobile 2003/5.0/6.0/6.1 provedete buď v průvodci nastavením ActiveSync nebo později v aplikaci ActiveSync - Server Synchronization - vybráním volby This server requires an encrypted (SSL) connection, tím pádem umožníte správnou funkci DirectPush a AutoDiscover.
Windows Mobile a ověřené certifikáty Použitím ověřeného certifikátu si nejen značně usnadníte konfiguraci mobilního přístupu k datům, ale zároveň tak zabezpečíte další služby poskytované IceWarp serverem, proto důrazně doporučujeme nainstalovat na server ověřený certifikát od certifikační autority, které zařízení implicitně důvěřuje. Jako alternativa se nabízí možnost nainstalovat certifikát, který je podpisem zřetězený s certifikační autoritou, které zařízení implicitně důvěřuje. Certifikační autority, kterým zařízení implicitně důvěřuje, jsou dány přítomností jejich kořenových certifikátů v úložišti certifikátů na zařízení přímo z výroby. Pokud se chystáte zprovoznit ActiveSync na zařízení, které používají různé verze systému Windows Mobile, zvolte certifikační autoritu, která má kořenový certikát na zařízení s nejstarší verzí operačního systému. Kořenové certifikáty přítomné v systému PocketPC 2002 odpovídají následujícím certifikačním autoritám: •
VeriSign
•
Cybertrust
•
Thawte
•
Entrust
Kořenové certifikáty přítomné v systému PocketPC 2003 odpovídají následujícím certifikačním autoritám: •
VeriSign
•
Cybertrust
•
Thawte
•
Entrust
•
GlobalSign
•
Equifax
Kořenové certifikáty přítomné v systému Windows Mobile 5.0 odpovídají následujícím certifikačním autoritám: •
Class 2 Public Primary Certification Authority (VeriSign, Inc.)
•
Class 3 Public Primary Certification Authority (VeriSign, Inc.)
•
Entrust.net Certification Authority (2048)
•
Entrust.net Secure Server Certification Authority
•
Equifax Secure Certification Authority
•
GlobalSign Root CA
•
GTE CyberTrust Global Root
•
GTE CyberTrust Root
•
Secure Server Certification Authority (RSA)
•
Thawte Premium Server CA
•
Thawte Server CA
Aktualizace systému Windows Mobile 5.0 AKU2 (MSFP) přidává kořenové certifikáty od certifikační autority: •
Godaddy http://www.valicert.com/
Kořenové certifikáty přítomné v systému Windows Mobile 6.x odpovídají následujícím certifikačním autoritám: •
Comodo AAA Certificate Services
•
Comodo AddTrust External CA Root
•
Cybertrust Baltimore CyberTrust Root
•
Cybertrust GlobalSign Root CA
•
Cybertrust GTE CyberTrust Global Root
•
Verisign Class 2 Public Primary Certification Authority
•
Verisign Thawte Premium Server CA
•
Verisign Thawte Server CA
•
Verisign Secure Server Certification Authority
•
Verisign Class 3 Public Primary Certification Authority
•
Entrust Entrust.net Certification Authority (2048)
•
Entrust Entrust.net Secure Server Certification Authority
•
Geotrust Equifax Secure Certificate Authority
•
Geotrust GeoTrust Global CA
•
Godaddy Go Daddy Class 2 Certification Authority
•
Godaddy http://www.valicert.com/
•
Godaddy Starfield Class 2 Certification Authority
Další informace Podrobnější informace o certifikát v systému Windows Mobile naleznete v článku Microsoft Technet: http://technet.microsoft.com/en-us/library/cc182301.aspx
Nastavení na zařízení Upozornění: Při první synchronizaci se stávající kontakty a kalendářové položky na zařízení přepíšou údaji uloženými na serveru, jen některá zařízení umožňují jejích sloučení. Toto chování není na závadu v případech, kdy zaměstnanec dostane nový telefon přidělen za pracovními účely a je tak zajištěno, že nedojde k duplikaci dat.
Záloha stávajících dat Prakticky je ale často zapotřebí stávající a mnohdy nikde jinde nezálohovaná data zachovat, než se přistoupí k první synchronizaci. Na některých zařízeních lze při konfiguraci účtu ActiveSync zvolit, že stávající data se mají zachovat (two-way sync), na jiných to možné není; je tedy nutné použít jiný způsob synchronizace, který je zachová. •
Pro účely testování postačí pro zálohu dat jedna z desktopových aplikací dodaná spolu se zařízením (ActiveSync, iSync, Nokia PC Suite…), přes Outlook Connector se pak dají data dostat na server. Nebo můžete zálohovaná dat po první synchronizaci na zařízení přes desktopovou aplikaci obnovit a přenést je tak na svůj účet na serveru.
•
Praktičtější způsob jak provést zálohu kontaktů je zkopírovat je na kartu SIM, a po konfiguraci účtu ActiveSync je zkopírovat zpět do telefonu, pro zachování diakritiky a více telefonních čísel je pak vhodná synchronizace přes SyncML,která umožňuje jednosměrnou zálohu dat na účet na serveru, před samotnou konfigurací profilu ActiveSync. Všechny tyto metody zajistí, že data zálohovaná na server budou také přístupná na zařízení hned jak proběhne první synchronizace.
Konfigurace 1.
V menu telefonu vyhledejte nastavení účtu ActiveSync. Obvykle je vás vytvořením nového účtu provede jednoduchý průvodce krok za krokem. Pokud je již na zařízení nějaký účet ActiveSync vytvořen, je nutné ho napřed zrušit, nelze synchronizovat data z více účtů.
2.
• Windows Mobile – Start – Programs – ActiveSync – Menu – Add Server Source
• iPhone – Settings – Mail, Contacts, Calendars – New Account – Exchange
• Nokia (Symbian S 60) – Menu – Messaging – Options – Settings – Email – Options – New Mailbox (jako typ účtu zvolte Mail for Exch. ) Průvodce vytvořením účtu lze spustit přímo z úvodní obrazovky vybráním zkratky Set up e-mail z aktivní nabídky.
• Palm OS – Menu – Email – Accounts – Account Setup… – New – Mail Type: Outlook (EAS)
• Palm Pre - Quick Launch dock - Email - (nebo pokud přidáváte další účet, pod Preferences & Accounts - Add an account) - zadejte emailovou adresu a heslo - volbu Mail Type změňte na Exchange (EAS).
• Symbian UIQ – Menu – Applications – RoadSync – Options – Settings Po instalaci klienta RoadSync vás vytvořením nového účtu provede jednoduchý průvodce. Další informace naleznete v dokumentaci dodávané s klientem.
• Blackberry – Applications – AstraSync/NotifySync – Options Po instalaci klienta AstraSync/NotifySync vás vytvořením nového účtu provede jednoduchý průvodce. Další informace naleznete v dokumentaci dodávané s klientem.
• Android (TouchDown) – Menu – Applications – Touchdown – Settings – Account Po instalaci klienta Moxier Mail vás vytvořením nového účtu provede jednoduchý průvodce. Další informace naleznete v dokumentaci dodávané s klientem.
• Android (Moxier Mail) - Menu - Applications - Moxier Sync - Account Po instalaci klienta Moxier Mail vás vytvořením nového účtu provede jednoduchý průvodce. Další informace naleznete v dokumentaci dodávané s klientem.
3.
Na zařízeních s podporou technologie AutoDiscover je konfigurace zjednodušena na zadání uživatelského jména (tím je vždy úplná emailová adresa) a hesla, jméno serveru si zařízení samo zjistí dotazem na doménovou část emailové adresy pokud se jeho část skládá ze jména serveru, pokud ne, použije dotaz na MX záznam DNS. Description/Account ID: popisek Zadejte libovolný popis účtu k jeho identifikaci. Username:
[email protected] Úplná emailová adresa uživatelského účtu. Password: pass1244 Heslo k účtu na serveru. V této fázi se zařízení může dotázat, zda chcete přijmout neověřený SSL certifikát pokud je server zabezpečen certifikátem, jehož kořenový certifikát není v zařízení uložen, nebo pokud namísto certifikátu od certifikační autority používáte na web serveru vlastní self-signed certifikát.
4.
Na zařízeních bez podpory technologie AutoDiscover je nutné vyplnit další údaje: Server name: hostname např.: mx99.icewarpdemo.com Domain: doména např.: icewarpdemo.com Pozn.: Nikdy nezadávajte prefix protokolu http:// nebo https:// před jménem serveru (hostname). Nezadávejte ani číslo portu za jménem serveru, cestu ani lomítko. Jméno domény lze ponechat prázdné, toto nastavení server ignoruje. Uživatelé jsou vždy jednoznačně identifikovaní svou emailovou adresou.
5.
Na závěr nastavení budete moci určit, které z položek Email, Kontakty, Kalenář a Úkoly chcete synchronizovat.
6.
V pokročilých nastaveních najdete volbu k zapnutí technologie DirectPush nebo naopak zapnete manuální synchronizaci nebo synchronizaci v nastaveném intervalu, lze zvolit jak staré položky se mají na zařízení ješte synchronizovat, zvolit složky, které se mají synchronizovat s vestavěnými aplikacemi, nastavíte způsob upozornění na nové položky, plus některá další nastavení, v závislosti na platformě operačního systému nebo podle dodavatele synchronizačního klienta.
Pozn.: Dobrým zvykem je omezit synchronizaci emailu jen na zprávy ne starší než zadaný počet dnů. Výhodou je značná úspora přenesených dat a také spotřebované energie v případě neopravitelné chyby, kdy je zařízení nuceno resynchronizovat všechna data ze serveru (odpovídá prvotní synchronizaci po vytvoření účtu nebo po jeho smazání a opětovném vytvoření). Pozn.: Hesla se přenášejí v nezakódované podobě, protokol nespecifikuje jiný způsob autentifikace. Proto se vší důrazností doporučujeme zapnout SSL šifrování před prvním spojením na server k zakódování veškeré komunikace.
Řešení potíží Pokud při zprovoznění ActiveSyncu narazíte na nějaké potíže, projděte si tyto kroky k jejich odstranění, dříve než se obrátíte na technickou podporu: 1.
Provedli jste upgrade z verze 9 nebo starší jiným způsobem, než aktualizací stávající instalace? Obnovili jste na serveru verze 10 zálohu nastavení pocházející z verze 9 nebo starší? Záloha nastavení není zpětně kompatibilní se staršími verzemi, obnovením dojde k poškození konfiguračního souboru webservice.dat. Správná konfigurace webové služby je popsána dále v textu této kapitoly, i tak ale pravděpodobně nebudou správně pracovat další služby, ne nutně související se serverem ActiveSync. V průběhu aktualizace na verzi 10 se provádí na 40 konverzních skriptů, zejména pokud jde o transformaci databáze používané GroupWare serverem, pokud tato část instalace neproběhne správně, nutně dojde k selhání řady služeb včetně Exchange ActiveSync. Proveďte aktualizaci na verzi 10 předepsaným způsobem.
2.
Projděte si návod v kapitole Nastavení serveru a přesvědčte se, že všechna nutná nastavení jsou splněna.
3.
Projděte si návod v kapitole Nastavení na zařízení a přesvědčte se, že všechna nutná nastavení jsou splněna.
4.
Podívejte se, zda se na zařízení při pokusu o synchronizaci objeví nějaké chybové hlášení. * Authentication failed. Překontrolujte, že zadáváte správné přihlašovací údaje. Uživatelské jméno musí být vždycky zadáno jako úplná emailová adresa. * Connection to the server failed. Chyba spojení. Zkontrolujte nastavení bezdrátového přenosu dat na zařízení. Některá zařízení jsou od operátora zkonfigurována tak, že k připojení na Internet využívají přístupový bod protokolu WAP. Pro ActiveSync lze použít pouze spojení protokolem HTTP- aktivujte si datový tarif a změňte výchozí připojení tak, aby používalo odpovídající přístupový bod operátora, například internet.t-mobile.cz. •
Zkontrolujte jméno serveru v nastavení ActiveSync profilu na zařízení. Přesvědčte se, že je váš server ze zařízení dostupný, nasměrováním webového prohlížeče na adresu začínající použitým jménem serveru a za něj přidejte /webmail/pda, měl by se ukázat přihlašovací dialog do tenkého webového klienta.
•
Ujistěte se, že webový server běží na standartním portu (80 pro HTTP a 443 pro zabezpečené spojení HTTPS). V Administrační konzoli se podívejte na nastavení Web Server pod použitý profil webové stránky, zda v něm pod záložkou Směrování nemáte nastavené nějaké nechtěné přesměrování. Zároveň zkontrolujte, že mezi Výchozími dokumenty je položka index.php.
•
Při konfiguraci profilu ActiveSync se obvykle objevuje upozornění na neověřený SSL certifikát hned po zadání přihlašovacích údajů, jak se zařízení snaží připojit ke službě SmartDiscover a certifikát použitý na serveru nepochází od uznávané certifikační autority. To samé upozornění se objeví v průběhu konfigurace ještě jednou, když zadáte jméno serveru ručně a ponecháte zapnuté připojení přes SSL. Pokud se toto upozornění v průběhu konfigurace neobjeví, a server používá self-signed certifikát,
problém není na straně ActiveSyncu, ale pravděpodobně v konfiguraci web serveru nebo nastavení datových přenosů. •
Zda je chyba v připojení na web server používaným Exchange ActiveSyncem ověříte tak, že do webového prohlížeče na zařízení (mobilní datové přenosy musí být funkční, nebo v případě použití Wifi musí být server z vnitřní sítě dostupný) zadáte: https://hostname/Microsoft-Server-ActiveSync/ Měla by se objevit výzva k zadání uživatelského jména a hesla. Pokud se tak nestane, web server je špatně nakonfigurovaný, nebo chybí potřebná nastavení Skriptování pro výchozí profil webové stránky, nebo je spojení blokováno firewallem, nebo je chyba již na síťové úrovni- jestli je to váš případ ověříte kontrolou záznamů logu webového serveru a chybového logu PHP- nikde nebude ani stopa po příchozím spojení ActiveSync.
•
Překontrolujte nastavení v Administrační konzoli pod Web Server – Výchozí (nebo jiný použitý profil webové stránky) – Skriptování. Mělo by vypadat jako na tomto obrázku. Odpovídající konfigurační parametry naleznete v souboru IceWarp Server\config\webserver.dat.
Pozn.: nastavení vztahující se k ActiveSyncu by měly být jak v sekci EXTENSIONS tak v sekci SPECIAL.
* Jiné chybové hlášení. Více informací zjistíte podle kódu a textového popisku chyby zobrazené na zařízení. Resetujte zařízení jeho vypnutím a zapnutím nebo vyndejte a po chvíli založte baterii. Pokud je problém se synchronizací jen některých položek, vypněte jejich synchronizaci v nastavení profilu ActiveSync na zařízení, zkuste znovu a potom ji opět zapněte. Smažte celý synchronizační profil (účet ActiveSync na zařízení) a znovu jej vytvořte. Vynuťte úplnou resynchronizaci pomocí volby v Administrační konzoli ActiveSync – Zařízení ActiveSync – Odebrat zařízení. Proveďte aktualizaci firmware zařízení na nejnovější verzi nebo nainstalujte poslední verzi klienta ActiveSync (pokud je nutný plugin pro podporu ActiveSyncu). Podle charakteru chyby konzultujte uživatelskou příručku, stránky technické podpory nebo helpdesk dodavatele zařízení či klienta. Pro zařízení na platformě WIndows Mobile naleznete pod odkazem níže velmi praktický seznam všech chybových kódů. Rady obsažené v textu lze použít i pro řešení potíží s Exchange ActiveSync na jiných zařízeních. Mějte na paměti, že odkazovaný dokument se týká primárně Exchange serveru a doporučení k nápravě chyb tak nebude možné přímo aplikovat na IceWarp server. http://www.pocketpcfaq.com/faqs/activesync/exchange_errors.php * Na zařízení se neobjeví žádně chybové hlášení, přesto nedojde k synchronizaci dat ze serveru. Ještě jednou si projděte výše uvedená doporučení. Pokud žádné z nich neodpovídá, bývá problém typicky ve špatně zmigrované databázi GroupWare. Ten může nastat při upgrade ze starší verze nebo beta verze IceWarp serveru a příčinou jsou lokalizovaná jména složek GroupWare, nesprávně převedená do znakové sady UTF. Je-li to váš případ ověříte tak, že na serveru založíte zcela nový účet, přihlásíte se do něj přes webového klienta, čímž se vytvoří lokalizované složky Kalendář apod., do nich zadáte nějaké testovací záznamy a zkusíte synchronizaci s tímto účtem. Pokud s novým účtem vše funguje, příčinou jsou stávající nesprávná jména složek, a bude třeba přistoupit k opravě databáze GroupWare serveru. Než začnete, pro jistotu zazálohujte stávající databázi, kdyby náhodou došlo k jejímu poškození. V Administrační konzoli vyberte Systém – Nástroje – Migrace databáze, vepište jméno cílové databáze a zapněte volbu Opravit znakovou sadu UTF-8. Klepněte na tlačítko Spustit migraci. Jakmile je databáze úspěšně převedena, v nastavení GroupWare - Obecné - Nastavení databáze vepište jméno databáze, kterou jste migračním nástrojem právě vytvořili. Klikněte na tlačítko Použít a restartujte službu GroupWare. V případě přetrvávajícíh potíží se neváhejte obrátit na technickou podporu.
5.
Logování protokolu ActiveSync zapnete v nastevní Systém – Záznamy – Služby. Vyhledejte záznamy logu ActiveSync odpovídající účtu, kde dochází k potížím v synchronizaci. Pokud log neobsahuje vůbec žádné záznamy, celý subsystém ActiveSync zřejmě nepracuje. Jedna z možných příčin je nefunkční procesor PHP. Zkontrolujte proto Chybový log PHP zda neobsahuje nějaké neobvyklé záznamy. Případně přeinstalujte IceWarp server do stejné složky, tím by se měla obnovit správná konfigurace procesoru PHP. Přeinstalováním IceWarp serveru do stejné složky také opravíte poškozený server ActiveSync. Pokud mezi záznamy logu ActiveSyncu naleznete nějaké chybové hlášení nebo důkazy o neúplné komunikaci se zařízením, se kterými si sami nevíte rady, uložte si relevantní záznamy v okolí těchto chyb do textového souboru a zašlete jej na technickou podporu spolu s krátkým popisem problému.
6.
Problémy s DirectPush- funguje jen občas, způsobí že nová pošta nepřijde, po nějaké době se zastaví, nebo se zastavuje náhodně Zkontrolujte, že na zařízení není nastaven časový plán, kterým se funkce Push řídí (například ve všední den od 8 do 18 hod.) Pokud zařízení používá pouze Wifi připojení, v nastavení sítě (např. Connections – WiFi Settings – Power Mode) zkontrolujte, že nemáte aktivní žádné opatření k úspoře energie, které by přepínalo systém do pohotovostního režimu, ve kterém je Wifi připojení vypnuté. V pokročilých nastaveních na zařízení byste neměli vynucovat žádné hodnoty vztahující se k délce Hearbeat intervalu, pokud nejde zapnout automatický režim, nebo jste přesvědčení, že chyba je ve špatné hodnotě, zadejte nižší než aktuálně použitou hodnotu, naopak maximum podporované serverem je 30 minut, více v kapitole Změna heartbeat intervalu. Heartbeat interval je doba mezi jednotlivými pingy od zařízení na server, které udržují otevřenou relaci TCP pro komunikaci metodou DirectPush. V logu ActiveSyncu lze vysledovat, po jaké době zařízení vyšle ping, jak na něj server odpovídá, zda se znovu připojuje po definované době či ne. V některých případech stojí za náhodnými problémy s DirectPush špatně zkonfigurovaný nebo nekvalitní směřovač Wifi, který zahazuje pakety, znemožňuje zařízení přepnout se na novou IP adresu a podobně- zkuste to ověřit v jiné síti nebo vypněte Wifi na zařízení a sledujte, zda se problém projevuje jen ve smíšeném provozu na Wifi a GSM. Zkontrolujte nastavení úspory energie na zařízení. Některé přístroje (například novější Nokia E Series) automaticky vypínají datové přenosy při poklesu kapacity baterie, aby ušetřili zbývající energii pro volání. Podobně přístroje BlackBerry vypínají síťovou část úplně, dojde-li k vybití baterie pod určitou mez. Po nabití baterie nebo připojení k nabíječce může trvat až jeden cyklus heartbeat intervalu, než se zařízení samo přihlásí k serveru s žádostí o nová data. Uživatel by měl proto synchronizaci provést raději ručně ihned po navázání spojení nebo připojení k nabíječce.
7.
Nefunkční DirectPush
•
Na některých platformách není technologie DirectPush vůbec dostupná (PocketPC, Windows Mobile 5.0, starší Palm OS). Porovnejte zařízení s tabulkou Kompatibilních zařízení (v úvodní kapitole Dokumentace Exchange ActiveSync). Všechna zařízení na platformě Windows Mobile a některé mobilní telefony Nokia vyžadují pro správnou funkci DirectPush použití zabezpečeného spojení SSL. Viz kapitola Šifrování SSL na platformě Windows Mobile.
•
Problémem může být SSL certifikát na straně serveru (neověřený, expirovaný, zneplatněný).
•
Zkontrolujte, že DirectPush je na zařízení opravdu zapnutý (jde-li o Windows Mobile, viz ActiveSync - Menu - Schedule - Peak times/Off-peak times - As Items Arrive, jde-li o iPhone, viz Settings - Mail, Contacts, Calendars - Fetch New Data - Push - On, podobná volba se nachází v pokročilých nastaveních profilu ActiveSync i na řadě jiných zařízení).
•
DirectPush nebude fungovat na zařízeních platformy Windows Mobile (ale i jiných), pokud je jediné dostupné připojení přes bezdrátovou síť Wifi- ikdyž Push zapnete, položky se budou synchronizovat v intervalu 30 minut v závislosti na dostupnosti sítě, dokud neaktivujete mobilní datové přenosy (GSM, GPRS, EDGE, 3G).
•
Většina zařízení má imlicitně zakázané datové spojení při roamingu- ujistěte se, že je správně nastavena domácí síť.
•
Některá zařízení a klienti umožňují nastavit časový plán pro Push (např. ve všední dny 8 - 18 hod)- ujistěte se, že při výpadku funkce Push není aktuální čas mimo tento interval, nebo časový plán vypněte úplně.
•
V Administrační konzoli zkontrolujte, že je aktivní volba GroupWare – Obecné – Server Push. Zapněte logování služby Push v nastavení Systém – Záznamy – Server Push. Pokud je log služby delší dobu prázdný, přestože mail server i GroupWare server vykazuje provoz, zkuste restartovat službu Control. Zkontrolujte, že služba Control nemá nastavený složitý IP Binding. Můžete také zkusit změnit UDP port na kterém běží služba Push. V jejím logu by se poté měly objevit záznamy odpovídající aktuální aktivitě na serveru (porovnejte s postiženým účtem) následované tzv. RAW notifikací do skriptů ActiveSyncu- pokud tato chybí, došlo k závažné chybě na serveru a je třeba restartovat službu Control. Dále se podívejte do logu ActiveSyncu, zda ve chvíli změny na serveru proběhne synchronizace na dané zařízení. Základní pravidlo zní: není ping, není push. Server nemůže na zařízení posílat data (push), pokud předtím od zařízení neobdrží příkaz k notifikaci (ping). Pokuste se v logu ActiveSyncu vyhledat záznamy obsahující popisek --- Ping, které odpovídají problémovému zařízení (účtu jeho uživatele), všechny záznamy téhož zařízení naleznete podle stejného ID zařízení (řetězce, kterým začíná každý záznam v logu). Pro srovnání uvádíme, jak by měl vypadat korektní log, když zařízení notifikuje server příkazem ping a ten následně synchronizuje změny směrem na zařízení.
…
Pozn.: Některé značky uváděné v logu nejsou přesně podle platné syntaxe formátu XML. Např.
"John Doe" <[email protected]>. Zvláštní znaky < a > by správně měly být nahrazeny entitami < a > v XML. V případě ActiveSyncu se ale jedná o formát WBXML (WAP Binary XML), který takovou syntaxi dovoluje. V logu se proto pro lepší čitelnost uvádí v původním podobně. Pozn.: Nedochází-li k jiné výměně dat, zařízení vyšle příkaz ping pravidelně každých X minut (kde X je předem dohodnutý heartbeat interval, podporovaný serverem v rozsahu 1 - 30 minut, tedy pokud zařízení požaduje nastavit například 60 minutový heartbeat, je mu zkrácen na 30 minut), kterým serveru oznamuje, že na této adrese IP očekává příchozí komunikaci, a zároveň tím udržuje otevřenou relaci na úrovni protokolu TCP. Server na ping odpovídá v průběhu těchto X minut stanovených heartbeat intervalem, kdykoli dojde k nějaké změně dat ve sledované složce na účtu, a vyvolá tak synchronizaci dané složky (Doručené, Kalendář, apod., jaké složky se budou notifikovat záleží jen na nastavení na straně zařízení). Okamžitě po dokončení synchronizace odešle zařízení na server další příkaz ping, bez ohledu na uplnynulou dobu heartbeatu. Pozn.: Zařízení si může nastavení heartbeatu inteligentně upravovat v závislosti na zbývající kapacitě baterie a také podle toho, jak často synchronizace skutečně probíhá (dle provozu).
Reset databáze ActiveSyncu UPOZORNĚNÍ: Reset databáze způsobí, že některá zařízení budou donucena resynchronizovat veškerá data ze serveru, zatímco některá zařízení, na kterých je zapnutý DirectPush, zůstanou až jednu hodinu bez notifikace, než DirectPush opět naběhne. Úplná resynchronizace (full/initial sync v terminologii ActiveSyncu, nebo také označovaná jako slow sync v terminologii SyncML) znamená, že všechna data přenesená do té doby na zařízení (bereme-li v úvahu nastavené filtry, pak jen aktuální data) zařízení smaže a znovu je všechny najednou načte ze serveru. Dochází tak ke zbytečným přenosům dat a síťová aktivita vyčerpává baterie, díky speciálním algoritmům však nikdy není ovlivněna dostupnost serveru ani při velkém počtu zařízení. Z tohoto důvodu doporučujte užívání filtrů, neboli synchronizace omezené na položky ne starší, než zadaný počet dnů. ActiveSync používá databázi k ukládání procesních dat o stavu zařízení, která se aktualizují s každou synchronizací, ale která musí být zachována také po rebootu serveru a restartu služeb. Ze strany administrátora je tato databáze zcela bezúdržbová, ovládání probíhá výhradně přes Administrační konzoli, z dialogu Správa – <účet> – Služby – Zařízení ActiveSync..., kde je možné nalézt typ zařízení, jednotlivě odebrat zařízení, ovládat vzdálený výmaz RemoteWipe a individuálně nastavit bezpečnostní politiku. Databáze se instaluje automaticky zároveň s instalací nebo aktualizací serveru a používá napojení PDO do příslušných PHP skriptů ActiveSyncu. Je předkonfigurována používat databázi SQLite (stejně jako webový klient) který se instaluje zároveň s procesorem PHP, pro zvýšení výkonu ji lze přepnout na MySQL nebo Microsoft SQL Server, v nastavení WebClient – Spojení PDO. Zásadní potíže s ActiveSyncem (vzniklé na základě aktualizace z předprodukční verze nebo obecným poškozením dat), lze vyřešit smazáním jím používané databáze- nebo lépe jejím přejmenováním, abyste měli zálohu pro případ potřeby. Smažte/přejmenujte soubor IceWarp Server\calendar\activesync\db\sync.db.
Nedojde tím ke ztrátě žádných uživatelských dat (ty se ukládají do databáze GroupWare serveru a do adresářové struktury /mail), viditelný následek jejího smazání bude pouze vyprázdnění seznamu zařízení ActiveSync, ten se ale po nějaké době zaplní, jakmile se aktivní zařízení připojí k serveru. V případě potíží jen s jedním nebo několika málo zařízeními, je vhodnější namísto resetu databáze použít funkci ActiveSync - Správa zařízení - Odebrat zařízení, kterou dosáhnete téhož výsledku. Tímto způsobem smažete záznamy databáze pouze pro toto zařízení individuálně, a zároveň tím vynutíte jeho úplnou resynchronizaci.
Změna heartbeat Intervalu Změnu hearbeat intervalu na serveru použijte skutečně pouze v ojedinělých případech, kdy víte přesně, čeho se snažíte dosáhnout. Server akceptuje jakýkoli zařízením požadovaný heartbeat, pokud nepřesahuje 30 minut. Zařízení si obvykle dohodne heartbeat automaticky. Některá zařízení dovolují nastavit heartbeat uživatelsky. Změnou heartbeatu na zařízení směrem k vyšším hodnotám prodloužíte životnost baterie, hodnoty vyšší než 30 minut se nedoporučují, už jen z toho důvodu, že nevyužitá spojení jsou po této době ukončována směřovači na síťové vrstvě. Změnou heartbeatu na zařízení směrem k nižším hodnotám zajistíte častou obnovu spojení, je tedy vhodné jej snížit (umožňuje-li to zařízení) v případě pravidelných výpadků funkce DirectPush. Ovládat maximální hodnotu heartbeatu podporované serverem lze přepsáním konstanty aplikačního rozhraní, pomocí nástroje příkazové řádky: Aktuální hodnotu maximálního heartbeatu zobrazíte příkazem: tool display system C_PushServer_Heartbeat Novou hodnotu (v milisekundách) nastavíte příkazem: tool set system C_PushServer_Heartbeat 1800000 Pokud chcete posunout maximální hodnotu heartbeatu za hranici 30 minut, je třeba změnit nastavení web serveru tak, aby se odpovídajícím způsobem prodloužil také časový limit relace PHP. Tento dodatečný krok přeskočte v případě, že web server běží v režimu ISAPI (výchozí nastavení ve verzi serveru pro OS Windows). Změna konfigurace web serveru je nutná jen pro režim FCGI (FastCGI, další informace v příručce administrátora modulu IceWarp WebClient), nebo jedná-li se o verzi pro OS Linux (kde je režim FCGI výchozím nastavením): V konfiguračním souboru IceWarp Server\config\webserver.dat vyhledejte následující řádky a zadejte vámi zvolenou hodnotu v milisekundách: •
Linux:
- <TITLE>[activesync] <MODULE>(fastcgi)var/phpsocket;scripts/phpd.sh;1800000
•
Windows:
- <TITLE>[activesync] <MODULE>(fastcgi);php\php.exe;1800000
Přístup do GroupWare z mailu Přístup do GroupWare z mailu je unikátní funkce IceWarp serveru, která umožňuje přes ActiveSync prohlížet i takové groupwarové položky, které normálně protokol Exchange ActiveSync vůbec nepodporuje. Vše probíhá zcela transparentně, konverzí groupwarových dat na speciálně sestavené emailové zprávy, které jsou v zařízení dostupné pod obvyklým jménem groupwarové složky- přesně jako ve webovém klientu nebo v Outlooku, včetně podpory pro více složek stejného typu, vnořených složek a složek s diakritikou v názvu. K prohlížení těchto dat by uživatel musel na zařízení nainstalovat několik obslužných aplikací (WebDAV klient, SyncML task manager) a při práci mezi nimi přepínat, takhle vše obstará přímo v emailovém klientu, bez nutnosti cokoliv nastavovat, vše stále aktuální (možné je i zapnout DirectPush na sledovanou složku), se všemi podrobnostmi jako jsou kategorie, účastníci nebo přílohy. Navíc celý původní objekt ve formátu Versit (nativní formát groupwarových položek) je připojen k emailu jako příloha a je možné jej rovnou přeposlat jinému uživateli, který tyto data potřebuje a ten si jej může buď přečíst v textové podobě, nebo přílohu naimportovat do svého účtu GroupWare. Jak to funguje? •
Složky GroupWare jsou namapované na složky emailového účtu IMAP
•
Z groupwarových položek se vyseparují všechny důležité informace a z nich se sestaví email
•
Přístup k těmto datům je možný ze všech zařízení s podporou podsložek (viz Seznam kompatibilních zařízení)
•
Pro zařízení je tato metoda zcela transparentní a nemůže dojít k problémům s kompatibilitou
•
Poznámky: obsahují veškeré detaily i přílohy, jsou setříděné od naposledy změněných
•
Úkoly: splněné úkoly se nesychronizují, pokud je synchronizace emailů omezená na ne starší než 7 a méně dnů
•
Soubory: maximální velikost souborů které lze na zařízení stánout je dána zařízením (od několika po stovky MB)
•
Kategorie je poznačena jako jméno odesílatele
•
Jednosměrná synchronizace ze serveru na klienta, možnost číst, přesunovat, mazat
Konfigurace Na zařízeních s Windows Mobile a většině dalších je pouze nutné v nastavení profilu ActiveSync zaškrtnout, že tyto GroupWarové složky se mají také synchronizovat. Naproti tomu např. Apple iPhone zpřístupňuje veškeré složky účtu bez ptaní, jen chcete-li použít DirectPush pro jejich okamžitou synchronizaci, je potřeba vybrané složky zaškrtnout v nastavení účtu ActiveSync - Složky pro Push. Některá zařízení bohužel nepodporují jiné emailové složky než výchozí (Doručené, Rozepsané, Odeslané, Odstraněné) a tím pádem nelze zpřístupnit ani groupwarové složky- v některých případech si lze pomoci přesunutím groupwarových složek v hierarchii pod Doručené.
Doporučení pro delší výdrž na baterie Vypnutím Push notifikace prodloužíte výdrž na baterie. Některá zařízení umožňují vypnout Push pro emaily a ponechat jej zapnutý pro kalendáře a kontakty- tím vylepšíte výdrž na baterii oproti stahování všech emailů na pozadí a zároveň budete mít denní agendu stále aktuální. Technologie DirectPush má velmi malou režii na udržování stálého spojení co se týče množství přenesených dat, srovnatelnou třeba s protokolem IMAP IDLE. K vyšší spotřebě energie příspívá největší měrou právě otevřené síťové spojení. Vypněte přístup přes síť Wifi, pokud zařízení umí datové přenosy přes mobilní síť. Přinejmenším vypněte vyhledávání nových přístupových bodů sítě Wifi. Nastavte domácí mobilní síť (Zvolit ručně) namísto vyhledávání dostupných sítí (Automaticky), pokud často necestujete do zahraničí. Vypněte bezdrátové připojení Bluetooth pokud žádné takové příslušenství nepoužíváte často. Zvolte GSM mód u zařízení podporujících rychlé datové přenosy UMTS pokud je nevyužíváte. Vypněte další energeticky náročné funkce jako GPS. Nastavte heartbeat interval (je-li taková možnost dostupná) na automatický a porovnejte pak výdrž s tím, když zvolíte nějakou hodnotu mezi 20 a 30 minutami. Pokud dojde s takovým nastavením k problémům jako je opožděné doručovaní pošty, vraťte raději původní hodnotu nebo automatický heartbeat. Nikdy neměňte hearbeat interval přímo na serveru kvůli jednomu zařízení. Pokud jej na serveru nastavíte níž než na původních 30 minut, způsobíte, že všechna zařízení budou nucena častěji konktaktovat server, což jejich výdrži neprospěje.
Bezpečnostní zásady Vytvořte politiku zabezpečení hesel přes Politiky – Politika hesel v Administrační konzoli. Poučte uživatele, aby vždy používali zabezpečené spojení SSL. Nainstalujte serverový certifikát od některé renomované certifikační autority (VeriSign, Thawte apod.) Zapněte ochranu emailových schránek pomocí antispamu a antiviru k odfiltrování škodlivého obsahu (phishing, malware). Pro ochranu citlivých údajů na paměťových kartách mobilních zařízení zapněte šifrování ukládaných dat (nebo nainstalujte software, který to umožňuje). Hesla, přístupové kódy a čísla PIN nikdy neukládejte na mobilní zařízení. V případě nutnosti použijte k jejich uložení aplikaci peněženky v kombinaci se silným heslem k jejímu otevření, která umožňuje vymazání dat po několika nesprávných pokusech, a kterou jde zálohovat na osobní počítač, pro případ ztráty, odcizení, nebo dojde-li k vzdálenému resetu. Vypněte viditelnost telefonu přes Bluetooth a zapínejte ji vždy jen dočasně pro účely párování (např. s náhlavní soupravou) nebo jiným zařízením (např. pro přijmutí vizitky). Zvažte instalaci antiviru na zařízení s vlastním operačním systémem, zejména jde-li o systém Windows Mobile.
Co možná nejvíce využívejte možností bezpečnostní politiky ActiveSync k vytvoření korporátních bezpečnostních zásad: •
Nastavte rozumně krátkou dobu nečinnosti, po které se zařízení uzamkne.
•
Vyžadujte zadání kódu zámku pro jeho odemčení.
•
Nastavte lokální reset po několika nesprávných pokusech o odemčení.
•
Vyžadujte alespoň čtyřznakové heslo.
•
Pokud možno povolte pouze zařízení s podporou bezpečnostních politik- takové přístroje potom bude možné vzdáleně vymazat.
Pokud nelze bezpečnostní zásady na daný typ zařízení uplatnit a s jeho výměnou se nepočítá, dohlédněte na konfiguraci bezpečnostních prvků uživatelem.
SmartDiscover Přehled Moderní technické prostředky pro komunikaci (emailový klient, mobilní zařízení, messanger) používají řadu různých služeb a protokolů, jejichž správné nastavení je pro obyčejné uživatele poměrně složitý úkol. Administrátoři s různou mírou úspěšnosti za tímto účelem využívají nástroje hromadné správy nebo uživatelům poskytují názorné příručky ke zprovoznění služeb. Při konfiguraci několika protokolů naráz se nelze vyhnout chybám a vždy to zabere nějaký čas. Situaci je zapotřebí vyřešit tak, aby si aplikace sama vyžádala od serveru, jaké protokoly podporuje a jejich správnou konfiguraci. SmartDiscover je přesně takový mechanismus- aplikace požádá uživatele o přihlašovací údaje, kterými jej autentifikuje na serveru, načež od něj obdrží úplný výpis podporovaných protokolů, jejich portů, adres URL a odpovídajícího jména serveru. Veškerá komunikace je zabezpečena spojením SSL mezi klientem a serverem a certifikát SSL se zároveň použije k ověření autentičnosti serveru. Uživatel tak s aplikací může začít pracovat hned po instalaci, bez nutnosti konfigurace. SmartDiscover na straně IceWarp serveru je 100% zpětně kompatibilní s technologiíí Microsoft AutoDiscover implementovanou v zařízeních. Microsoft AutoDiscover je omezen na konfiguraci klienta Outlook a mobilních zařízení. IceWarp SmartDiscover tuto funkci rozšiřuje na vlastního emailového klienta, notifikační utilitu, budoucí SIP a IM klienty a v blízké době také na Outlook Connector. V podstatě libovolné nastavení služby IceWarp serveru je možné zkonfigurovat přes SmartDiscover, pokud klientská aplikace tento otevřený standard implementuje. Více v odkazech na MSDN: http://msdn.microsoft.com/en-us/library/cc433481.aspx http://msdn.microsoft.com/en-us/library/cc463896.aspx Test kompatibility serveru lze provést na: https://www.testexchangeconnectivity.com/
Jak funguje Klientská aplikace požádá uživatele o přihlašovací údaje, podle doménové části emailové adresy nalezne server, vyšle mu žádost typu HTTP GET a autentifikuje uživatele. SSL spojení se použije jak pro přenos příhlašovacích údajů a veškeré další komunikace, tak pro ověření autentičnosti serveru. U mobilního zařízení to předpokládá, že server používá certifikát SSL vydaný certifikační autoritou a je tak pro zařízení důvěryhodný. Jestliže požadavek na server přes první adresu URL neprojde, zkouší se další možnosti, až se spojení se službou SmartDiscover povede. Adresy předem definované standartem AutoDiscover zařízení zkouší v tomto pořadí: https://autodiscover.domain.com/autodiscover/autodiscover.xml https://domain.com/autodiscover/autodiscover.xml Klient se pak přihlásí k serveru s použitím autentifikace HTTP uživatelským jménem a heslem, pokud je úspěšná, server jako odpověď vrátí konfigurační údaje ve formátu XML. Z nich si klient vybere ty, které potřebuje ke své konfiguraci a zcela bez zásahu uživatele je uloží do nastavení aplikace. Žádost mechanismu SmartDiscover 1.
Použití doménového jména Ve chvíli, kdy klient implementující SmartDiscover zná uživatelovy přihlašovací údaje, podle doménové části emailové adresy vyšle žádost typu
HTTP GET na adresu: https://autodiscover.domain.com/autodiscover/autodiscover.xml Server vrátí žádost o autentifikaci. Klient se přihlásí uživatelským jménem a heslem autentifikací HTTP, server v případě úspěchů vrátí konfigurační údaje ve formátu XML.
2.
Použití původního doménového jména Jestliže požadavek přes první adresu URL neprojde (neexistující adresa nebo jiná chyba), požadavek se opkauje na adresu: https://domain.com/autodiscover/autodiscover.xml
3.
Použití dotazu na MX záznam
Jestliže požadavek přes obě varianty adresy URL neprojde, klient má ještě dodatečnou možnost zkusit dotaz na záznam DNS typu MX dle doménové části emailové adresy, čímž získá všechny adresy IP emailového severu a s jejich použitím postupně dle priority zopakovat předchozí dotaz na adresu URL: https://mxhost1/autodiscover/autodiscover.xml https://mxhost2/autodiscover/autodiscover.xml Pozn.: tento krok je nadstavbou původní implementace, využíván je pouze klienty vyvinutými společností IceWarp a ve specifikaci Microsoft AutoDiscover jej proto nenaleznete. Odpověď mechanismu SmartDiscover Ve chvíli, kdy je autentifikace klienta úspěšná (HTTP 200 OK), server vrací následující datovou strukturu s Content-Type: text/xml: ...
en:en ... <User> John Doe <EMailAddress>[email protected] ... ... MobileSync <Server>http://localhost/Microsoft-Server-ActiveSync http://localhost/Microsoft-Server-ActiveSync [email protected] ... XMPP <Server>localhost 5222 [email protected] ... ... ... Deklarace typu se vždy skládá z následujících aributů. Některé z nich jsou nepovinné, některé mají význam pouze pro určite typy služeb.
<Server>
- ID protokolu - adresa serveru nebo URL
- číslo portu pro více služeb na jednom serveru
- uživatelské jméno jež se použije pro autentifikaci
Konfigurace 1.
Administrátor musí nastavit alespoň jeden z těchto záznamů DNS:
•
záznam DNS A: autodiscover.icewarpdemo.com (obvykle neexistuje)
•
záznam DNS A: icewarpdemo.com (kde doména přesně odpovídá jménu serveru, hostname, na kterém fakticky běží jeho služby; obvykle neexistuje na čistě emailovém serveru, ale může být již zkonfigurován pro web server, služby XMPP nebo SIP)
Správnost nastavení záznamů DNS A (adresy hostitele) snadno ověříte přiloženým nástrojem DNS Query v adresáři IceWarp Server\dnsquery.exe. Pozn.: Notifikační utilita IceWarp Notifier, aplikace IceWarp Desktop a jiné budoucí aplikace pod značkou IceWarp tyto záznamy nepotřebují, protože jako jediné použijí vyhledání serveru přes DNS MX dotaz, zjednodušeně řešeno, pokud funguje přijímání emailu na adresu uživatele, Notifier se sám úspěšně zkonfiguruje. Pro ActiveSync nicméně platí, že alespoň jeden z uvedených záznamů musí být v DNS nastaven. 2.
Dále je pro správnou funkci AutoDiscover na mobilních zařízení potřeba mít na serveru nainstalovaný certifikát SSL, jiný než vlastní self-signed, pochopitelně nesmí být expirovaný nebo zneplatněný. Zařízení na platformě Windows Mobile navíc požadují certifikát, který je podepsaný známou certifikační autoritou nebo veřejným klíčem, který má zařízení v úložišti kořenových certifikátů- viz kapitola Šifrování SSL na platformě Windows Mobile. Pokud tato podmínka není splněna, mechanismus AutoDiscover selže, neboť zařízení nemůže ověřit důvěryhodnost serveru, kterému má svěřit přihlašovací údaje uživatele.
3.
Pro správnu funkci také nezapomeňte nastavit zabezpečený SSL port v části Systém – Služby – Control – Možnosti na standartní číslo portu 443. Na jiném portu zařízení službu SmartDiscover nenajdou.
Globální adresář Globální adresář (Global Address List, zkráceně GAL) je adresářová služba známá z Microsoft Exchange. GAL obsahuje kontakty uživatelů ze všech domén, veřejné distribuční seznamy a další datové typy Exchange serveru. Implementace GAL v IceWarp serveru •
kterákoli veřejná složka označená příznakem GAL
•
uživatelský účet typu IMAP obsahující podsložku kontaktů, označenou příznakem GAL
•
veřejná složka obsahující podsložku kontaktů, označenou příznakem GAL
•
adresář je sestaven automaticky ze všech členů účtu typu skupina
•
podpora pro více globálních adresářů (jeden pro každou veřejnou složku) dovoluje uživateli procházet každý zvlášť nebo všechny naráz, čímž je zajištěna spolupráce se všemi mobilními zařízeními Windows Mobile, iPhone, BlackBerry
•
možnost mít více globálních adresářů se hodí v případě, že uživatel je členem několika skupin
•
může obsahovat portréty, certifikáty a další typy informací připojené ke kontaktu
•
GAL podporuje také rekurzivní výčet členů skupiny
Jak vytvořit GAL 1.
Automaticky:
Založte nový účet typu skupina (zkratkou Ctrl+G), v jeho nastavení zaškrtněte volbu Vytvořit veřejnou sdílenou složku, pojmenujte tuto složku (např. Adresář) a zaškrtněte volbu Naplnit globální seznam kontaktů (GAL) všemi členy. Přepněte se do záložky Členové, klikněte na tlačítko Přidat..., ze seznamu si vyberte libovolné účty na serveru a nakonec výběr potvrďte tlačítkem Zvolit Účet. Výběr účtů opakujte až naplníte GAL všemi zamýšlenými členy. Při nastavování oprávnění postačí pro správnou funkci globálního adresáře nastavit přístup pouze pro čtení. 2.
Manuálně:
Předpokládejme, že chcete globální adresář vytvořit z nějakého již existujícího účtu, ať už z uživatelského, ze skupiny nebo z veřejné složky, kde je podsložka Kontakty nastavená jako veřejná. V nastavení GroupWare – Veřejné složky zvolte účet, v něm vyberte složku Kontakty, kterou chcete nastavit jako globální adresář a v dialogu Složky klepněte na tlačítko Nastavit globální kontakty (GAL). Atribut (GAL) se objeví vedle vybrané složky.
Technologie SmartSync SmartSync je unikátní rozšíření původní specifikace protokolu Exchange ActiveSync, navržené s cílem vylepšit synchronizační mechanismy při zachování plné kompatibility se všemi zařízeními. Podobně jako metody suspend-resume známé z protokolu SyncML, umožňuje zařízením inteligentní zotavení ze situací, kdy by vlivem kolísavého signálu mohlo dojít ke ztrátě dat ve chvíli, kdy server odpovídá na požadavky klienta. Klient nemá šanci poznat přerušení komunikace se serverem dokud nedojde k úplnému rozpadnutí spojení na síťové úrovni, když vypší čas relace nebo instance PHP přestane odpovídat. SmartSync se inicializuje automaticky v případě, že klient odešle dvakrát po sobě žádost se stejným SyncKey. To značí, že došlo ke ztrátě odpovědi ze serveru, který jinak vždy odešle klientovi status a případné změny. Řešení bez technologie SmartSync by v takové chvíli vyvolaly na zařízení úplnou resynchronizaci, aby předešly ztrátě dat- mohlo totiž dojít ke změnám na straně serveru nebo klienta, které nebyly promítnuty do procesu synchronizace. V režimu SmartSync server zopakuje všechny předchozí nedokončené požadavky klienta a umožní tak jejich plynulé navázání, aby vrátil data do stavu před chybou, nebo pokud mezitím nastaly v datech nějaké změny, promítnul tyto změny s přihlédnutím k uživatelem definovanému řešení konfliktů (pokud není nastaveno, pak data na serveru přepisují data na zařízení). Pokud došlo ke změnám dat na straně zařízení, server je pouze potvrdí, po navázání normální synchronizace se běžným způsobem přenesou na server. Po dokončení SmartSyncu se server vrátí k běžnému režimu synchronizace. SmartSync režim si server aktivuje dle potřeby a dovoluje tak řádné dokončení synchronizace, ikdyby došlo k chybě při každém druhém synchronizačním požadavku od klienta. Komentovaný útržek logu ilustruje navázání přerušené synchronizace, při které navíc dojde ke změně dat na serveru (v příkladu je klientským zařízení Apple iPhone). a4a5231d6acc77f60e477a8e23c12c2c [[email protected]] [0000] 15:35:01 <<< Sync <Sync xmlns="AirSync:"> Contacts <SyncKey>31 2d97d4e09a89f127e37a69c79b45c159 <WindowSize>50 26477 <ApplicationData> Alex
Alex a4a5231d6acc77f60e477a8e23c12c2c [[email protected]] [0000] 15:35:43 <<< Sync <Sync xmlns="AirSync:"> Contacts <SyncKey>31 2d97d4e09a89f127e37a69c79b45c159 <WindowSize>50 a4a5231d6acc77f60e477a8e23c12c2c [[email protected]] [0000] 15:35:43 >>> 200 OK <Sync xmlns="AirSync:"> Contacts <SyncKey>32 2d97d4e09a89f127e37a69c79b45c159 <Status>1
26477 <ServerId>3b137c61c028 <Status>1 a4a5231d6acc77f60e477a8e23c12c2c [[email protected]] [0000] 15:36:12 <<< Sync <Sync xmlns="AirSync:"> Contacts <SyncKey>32 2d97d4e09a89f127e37a69c79b45c159 <WindowSize>50 a4a5231d6acc77f60e477a8e23c12c2c [[email protected]] [0000] 15:36:34 >>> 200 OK <Sync xmlns="AirSync:"> Contacts <SyncKey>33
2d97d4e09a89f127e37a69c79b45c159 <Status>1 <ServerId>3b137c61c028 <ApplicationData> Alex E Alex