Korszerű kommunikációs infrastruktúrák Bátorfi Zsolt zbatorfi@microsoft.com rendszermérnök Microsoft Magyarország

„Korszerű” kommunikációs szolgáltatások Internet Személyes információk a weben SMS kiértesítés Szinkronizálás Otthoni PC-ről PocketPC szinkronizálás Mobil telefonos kapcsolat Az internet, az elektronikus levelezés és a mobil telefon alapjaiban megváltoztatta kommunikációs szokásainkat… Ezzel párhuzamosan egy korszerű kommunikációs szolgátatással kapcsolatos elvárásaink is átalakulnak… Ma már nemcsak az irodai PC-ről kell elérnünk a személyes információinkat (levelek, naptárbejegyzések, kontaktok)… Jó lenne, ha a weben, az otthoni PC-ről vagy tetszőleges mobil eszközről is hozzáférnék az irodai szolgáltatásokhoz… A kérdés, hogy mindezt, hogyan tudjuk biztonságosan bevezetni, és hogyan lehet mindezt könnyedén üzemeltetni… Fájlok közzététele és letöltése Felügyelet Riasztás Távoli admin.

Napirend Hozzáférés az Irodai szolgáltatásokhoz az Internetről Személyes információk a weben VPN kapcsolat intelligens kártyával Fájlok közzététele és megosztása az Interneten Mobil szolgáltatások bevezetése Személyes információk mobil telefonon Szinkronizálás mobil eszközre SMS kiértesítés Rendszerfelügyelet Állapot felügyelet, riasztás, távoli adminisztráció Mit? Mivel? Hogyan? Tennivalók, felhasznált technológiák, gyakorlatias tanácsok

Hozzáférés az iroda szolgáltatásaihoz 128-bit SSL Mobil szolgáltató SSL+ RDP 128-bit Terminál kliens MOM konzol Riasztások Outlook Mobile Access WAP + ActiveSync SMS ISA 2000 +Feature Pack1 +MMIS 2002 MOM 2000 DC Cert.Srv File/Print SharePoint „Az Iroda” Outlook Web Access 128-bit SSL Outlook MAPI sync. Smartcard/VPN WebDAV fájltranszfer 128-bit SSL WindowsXP Network places

Napirend Hozzáférés az Irodai szolgáltatásokhoz az Internetről Outlook Web Access, SmartCard/VPN, WebDAV Mobil szolgáltatások bevezetése Outlook Mobile Access, ActiveSync Server, SMS kiértesítés Rendszerfelügyelet Állapot felügyelet, riasztás, távoli adminisztráció Mit? Mivel? Hogyan? Tennivalók, felhasznált technológiák, gyakorlatias tanácsok

Az OWA közzététele az Interneten Követelmények https://mail.cegnev.hu/exchange Dedikált SSL interfész Szűrés az Exchange névterekre Kihívások Az SSL konfigurálása és közzététele Szűrés és betörés védelem az applikációs rétegben Minimális beavatkozás a belső szervereken Felhasznált technológiák ISA 2001: SSL listener, Feature Pack 1, Destination Sets, URLScan

Az OWA közzététele az Interneten Dedikált SSL listener SSL bridging Web Publishing URLScan OWA közzététel „Az Iroda” Outlook Web Access SSL SSL 128-bit Port 443 DC Cert.Srv https://mail.cegnev.hu/exchange Basic Auth. ISA 2000 Feature Pack 1

Az OWA közzététele az Interneten Tennivalók ISA 2000 telepítés + SP1 + ISAHF174 („Hotfix for rules engines…”) Certificate Services telepítés (Enterprise Root CA) SSL tanúsítvány igénylés az Exchange Default Web-re OWA ellenőrzése SSL felett egy belső IE-ből Belső CA tanusítvány letöltése és telepítése az ISA trusted root tárolójába

Az OWA közzététele az Interneten Tennivalók Exchange web SSL export (+Privát kulcs!) SSL import az ISA local machine tárolójába (új MMC kell hozzá!!!) A bejövő SSL forgalom engedélyezése az ISA-n A Firewall szervíz újraindítása Nézzük meg az eseménynaplót, hogy sikerült-e? 

Az OWA közzététele az Interneten Tennivalók mail.cegnev.hu Destination Set létrehozása (/exchange, /exchweb, /public) Web Publishing Rule létrehozása Az Enterprise CA tanusítvány letöltése egy külső kliensre A szolgáltatás tesztelése egy külső böngészőből

Az OWA közzététele az Interneten

Az iroda elérése SmartCard/VPN-el Követelmények Zárt adatforgalom a vpn.cegnev.hu csatornán Belépés csak SmartCard hitelesítéssel Egyszerű kapcsolatfelvétel Kihívások VPN interfész konfigurálása SmartCard provízionálás Connection Manager Administration Kit használata Felhasznált technológiák ISA 2001,RRAS, Certificate Services

Az iroda elérése SmartCard/VPN-el VPN szűrők RRAS szerviz EAP engedélyezés VPN konfiguráció „Az Iroda” SmartCard logon SmartCard sablon SC logon engedély Provízionálás Connection Mgr. Otthoni PC MAPI RPC MAPI sync (PPTP) Port 47, 1723 DC Cert.Srv Kerberos Auth. Connection Manager: SmartCard/VPN logon ISA 2000 Routing and Remote Access

Az iroda elérése SmartCard/VPN-el Tennivalók VPN varázsló futtatása az ISA-n IP szűrők (PPTP,L2TP) ellenőrzése Kliens IP kiosztás konfigurálása az RRAS-ban A VPN csatorna ellenőrzése egy külső kliensről SmartCard logon tanusítványkiadás konfigurálása

Az iroda elérése SmartCard/VPN-el Tennivalók SC logon biztonsági csoport létrehozása SC tanúsítvány igénylés lekorlátozása az AD Site&Services-ben EAP engedélyezés az RRAS-ban SC provízionálás egy kliensen Connection Manager konfigurálása Tesztelés egy külső kliensről

Outlook szinkronizálás SmartCard/VPN-el

Fájlok közzététele WebDAV-al Követelmények Fájlok közzétéle, másolása Egyszerű használat (IE, My Network Places) Titkosított forgalom Szűrés a www.cegnev.hu/dropzone névtérre Kihívások SSL konfiguráció Felhasznált technológiák WebDAV, IIS webmappák, ISA 2001

Fájlok közzététele WebDAV-al VPN konfiguráció Dedikált SSL listener SSL bridging Web Publishing URLScan „Az Iroda” Olvasók WebDAV HTTP WebDAV over SSL Port 443 DC Cert.Srv Kerberos Auth. ISA 2000 Feature Pack 1 Szerkesztők

Fájlok közzététele WebDAV-al Tennivalók Dropzone könyvtár létrehozása Bizonsági csoportok létrehozása (Readers, Publishers) NTFS jogok hozzárendelése IIS virtuális könyvtár létrehozása Read, Write, Directory browsing engedélyezése Csak integrált hitelesítés bekapcsolása

Fájlok közzététele WebDAV-al Tennivalók WebDAV registry kulcs beállítása az ISA-n (KB 304340 - http://support.microsoft.com/default.aspx?scid=kb;en-us;304340 SSL tanusítvány igénylése Új IP cím felvétele az ISA külső lábára Dedikált SSL listener létrehozása Destination Set-ek beállítása (www.cegnev.hu/dropzone*, www.cegnev.hu/) Webes közzététel

Biztonságos fájlmásolás és közzététel az Interneten

Napirend Hozzáférés az Irodai szolgáltatásokhoz az Internetről Outlook Web Access, SmartCard/VPN, WebDAV Mobil szolgáltatások bevezetése Outlook Mobile Access, ActiveSync Server, SMS kiértesítés Rendszerfelügyelet Állapot felügyelet, riasztás, távoli adminisztráció Mit? Mivel? Hogyan? Tennivalók, felhasznált technológiák, gyakorlatias tanácsok

Az Outlook Mobile Access bevezetése Követelmények Exchange szolgáltatások WAP-on Zárt csatorna: https://mobile.cegnev.hu/oma Névtér szűrés Kihívások Mobile Information Server 2002 konfiguráció Közzététel SSL felett Felhasznált technológiák MMIS 2002, ISA 2001

Az Outlook Mobile Access bevezetése Dedikált SSL listener SSL bridging Web Publishing URLScan. OMA konfiguráció „Az Iroda” Mobil szolgáltató WebDAV SSL Port 443 DC Cert.Srv Kerberos Auth. ISA 2001 Mobile Informaition Server 2002

Az Outlook Mobile Access bevezetése Tennivalók MMIS ForestPrep+DomainPrep a Schema Master-en SSL tanúsítvány igénylése az ISA Default Web-re MMIS szerver telepítése Új IP felvétele az ISA külső lábára (mobile.cegnev.hu) SSL listener konfigurálása OMA Destination Set létrehozása Webes közzététel Tesztelés WAP emulátorról, majd mobil telefonról

Az Outlook Mobile Access használata

Az ActiveSync szolgáltatás bevezetése Követelmények Kétirányú szinkronizálás a mobil eszköz és az Exchange között (ActiveSync) PocketPC 2002, Phone Edition, SmartPhone támogatás Kihívások Mobile Information Server 2002 konfigurálás Közzététel SSL felett Felhasznált technológiák MMIS 2002, ISA 2001

Az ActiveSync szolgáltatás bevezetése ActiveSync + Pocket Outlook Dedikált SSL listener SSL bridging Web Publishing URLScan. ActiveSync konfiguráció „Az Iroda” GPRS dial-up SSL Mobil szolgáltató GPRS átjáró WebDAV SSL Port 443 DC Cert.Srv Kerberos Auth. ISA 2000 Mobile Informaition Server 2002

Az ActiveSync szolgáltatás bevezetése Tennivalók ActiveSync Destionation Set létrehozása Webes közzététel Felhasználók provízionálása Tesztelés IE-ből: https://mobile.msdemos.hu/microsoft-server-activesync - „Not implemented error...” Enterprise CA tanúsítvány letöltése a PocketPC-re CA tanúsítvány aktiválása az PocketPC-n (AddRootCert.exe) ActiveSync 3.5 frissítés Szinkronizálás tesztelése

Az ActiveSync szolgáltatás használata

Az SMS kiértesítő szolgátatás bevezetése Követelmények SMS kiértesítés küldése Outlook szabályok alapján Gyors, bizontságos: integráció a mobil szolgáltatóval Kihívások Mobile Information Server 2002 konfiguráció Zárt kiértesítő csatorna kiépítése a szolgáltató felé Felhasznált technológiák MMIS 2002, ISA 2001

Az SMS kiértesítő szolgátatás bevezetése Mobil telefon (SMS) „Az Iroda” Exchange Event Source MMIS Carrier Edition SMTP SSL Port 443 Outlook kiértesítő szabályok ISA 2000 Mobile Informaition Server 2002 Mobil szolgáltató SMSC átjáró

Az SMS kiértesítő szolgátatás bevezetése Tennivalók Az Exchange Event Source telepítése Kiértesítő csatorna létrehozása az MMIS System Manager-ben Dedikált SMTP konnektor definiálása a MMIS kiszolgáló felé Felhasználók provízionálása A szolgáltatás aktivizálása az AIRWEB alkalmazásban Kiértesítő szabályok létrehozása a Outlook-ban Kiértesítés tesztelése

Az SMS kiértesítő infrastruktúra használata

Napirend Hozzáférés az Irodai szolgáltatásokhoz az Internetről Outlook Web Access, SmartCard/VPN, WebDAV Mobil szolgáltatások bevezetése Outlook Mobile Access, ActiveSync Server, SMS kiértesítés Rendszerfelügyelet Állapot felügyelet, riasztás, távoli adminisztráció Mit? Mivel? Hogyan? Tennivalók, felhasznált technológiák, gyakorlatias tanácsok

Korszerű kommunikációs infrastruktúrák Rubóczki László laszlo.ruboczki@abesse.hu rendszermérnök Abesse Rt Előadásom a Bátorfi Zsolt által már bemutatott kommunikációs infrastruktúrák felügyeletéről és monitorozásáról szól. Az előadás során megismerkedhetünk a monitorozó eszközökkel, a technológiához kapcsolódó felügyeleti módszertannal és az alkalmazási lehetőségekkel is.

Központi rendszerfelügyelet ActiveSync kliens MOM 2000 SSL GPRS dial-up DC Cert.Srv SSL Port 443 ISA 2000 Mobile Informaition Server 2002 GPRS átjáró Mobil szolgáltató „Az Iroda”

Központi állapotfelügyelet I. Követelmények Üzenetkezelő infrastruktúra aktuális állapotának monitorozása Üzemeltetők folyamatos elérésének biztosítása Adminisztrációs szerepkörök biztosítása Kihívások MMIS szabályrendszer felépítése MOM konfiguráció Felhasznált technológiák MOM 2000 /w SP1, SSM, Exchange Management Pack A következőkben tekintsük át, hogy milyen követelményeket támasztunk a felügyeleti rendszerünkkel szemben. A monitorozó rendszerekkel szembern támasztott általános követelmény, hogy a felügyelt rendszer állapotáról azonnali és részletes információkat legyen képes nyójtani. Ehhez számos feltételt kell megteremtenünk. Telepítenünk kell az alkalmazást, megfelelő szerepkörökkel kell felruházni. Az utóbbira azért van szükség, mert egy rendszerből a legtöbb információt csak úgy tudjuk kinyerni, ha megfelelően magas, általkában adminisztratív jogkörrel rendelkező felhasználón keresztül érjük el az alkalmazást. Biztosítani kell azt is, hogy a rendszer által szolgáltatott információk azonnal el tudjanak jutni az illetékes üzemeltetőkhöz, az ehhez szükséges emberi és tárgyi feltételeket az üzemeltetőnek meg kell teremtenie. Ezalatt az állandó ügyeleti rendszert és például a mobiltelefonos elélrést kell érteni.

Központi állapotfelügyelet II. Tennivalók Szolgáltatásfiók létrehozása, szerepkörök ráruházása MOM 2000 környezet telepítése Microsoft Application Management Pack telepítése (Exchange 2000 Server modul) MMIS és Exchange környezet logikai szeparálása a teljes rendszertől a MOM-ban Exchange modulok finomhangolása A MOM alapú felügyeleti rendszer kialakításához a következő feladatokat kell elvégeznünk:

Központi állapotfelügyelet III. Tennivalók MMIS szabálycsoport „megalkotása” Kiértesítési csoportok feltöltése (Notification Groups) Folyamatos üzem közbeni finomhangolás

Az Exchange 2000 központi állapot felügyelete

Riasztás I. Követelmények Kihívások Felhasznált technológiák Üzemeltetők folyamatos elérésének biztosítása Kiforrott MOM üzemeltetési környezet Kihívások Alert storm-ok elkerülése Automatikus válaszlépések definiálása Felhasznált technológiák MOM2000, MIS SMS notification, 3rd party üzenetküldő alkalmazások (Oxygen)

Riasztás II. Tennivalók Riasztási események meghatározása Riasztási esetek meghatározása Alert processing rule-ok létrehozása Esemény-nézetek kialakítása a riasztások elkülönítésére az adatfolyamból Riasztás utáni feladatok meghatározása Válaszlépések leprogramozása Válaszlépések konfigurálása

Riasztások konfigurálása

Távoli adminisztráció I. Követelmények A központi felügyeleti konzol elérése A rendszer felügyeleti eszközök használata távolból Kihívások Biztonságos elérés kialakítása MOM IIS kiszolgálójának lezárása Felhasznált technológiák ISA 2000, SSL, IIS LockDown

Távoli adminisztráció II. Tennivalók A http://<momserver>/onepointoperations weboldal IIS-ének lezárása IIS LockDown-nal A konzol publikálása ISA segítségével Hozzáférés biztosítása csak a megfelelő személyek számára (lehetőleg SmartCard azonosítással)

Távoli rendszer adminisztráció

Összefoglalás Hozzáférés az Irodai szolgáltatásokhoz az Internetről Outlook Web Access, SmartCard/VPN, WebDAV Mobil szolgáltatások bevezetése Outlook Mobile Access, ActiveSync Server, SMS kiértesítés Rendszerfelügyelet Állapot felügyelet, riasztás, távoli adminisztráció Mit? Mivel? Hogyan? Tennivalók, felhasznált technológiák, gyakorlatias tanácsok

További információk ISA Server Feature Pack 1 http://www.microsoft.com/isaserver/featurepack1/default.asp MOM Exchange 2000 Management Pack http://www.microsoft.com/exchange/techinfo/administration/mom.asp Mobile Information Server 2002 http://www.microsoft.com/miserver/default.asp