Раскрытие улучшений Exchange ActiveSync в Exchange Server 2007 Service Pack 1

Exchange Server 2007 Service Pack 1 (SP1) снабжен улучшениями, касающимися Exchange ActiveSync (EAS). Как вы увидите в этой статье, тут содержится новая политика EAS по умолчанию. Также представлены несколько новых настроек Exchange ActiveSync. Кроме того, команда Exchange Front End в группе Exchange Product обеспечила отправку подтверждающего электронного сообщения соответствующему пользователю после успешного завершения вытеснения так, что пользователь будет предупрежден, что настройки его мобильного устройства были сброшены на настройки по умолчанию. И, наконец, был улучшен протокол Direct Push. В сущности, объем данных, пересылаемых между мобильными устройствами и сервером Client Access, был уменьшен даже больше, чем в случае с версией Exchange Server 2007 RTM.

Замечание: Новые свойства мобильных устройств Windows, обсуждаемые в этой статье, требуют Windows Mobile 6.0.

Замечание: Эта статья основывается на Exchange Server 2007 SP1 Beta 2. Это значит, что свойства EAS, описываемые в статье, все еще могут измениться до выпуска Exchange Server 2007 SP1 RTM.

Представленная новая политика по умолчанию Exchange ActiveSync.

В Exchange Server 2007 SP1 новая политика по умолчанию Exchange ActiveSync добавляется автоматически в процессе установки серверной роли Client Access (Рисунок 1). Как большинство из вас, наверное, знает, вы должны вручную создать и приписать политику EAS почтовым ящикам пользователей в версии Exchange 2007 RTM, а из-за того, что это не соответствует общей стратегии secure-by-default, используемой в группе Exchange product, политика по умолчанию EAS теперь встроена в продукт.

Рисунок 1. Политика по умолчанию Exchange ActiveSync

Заметьте, что, даже когда вы обновляете существующий сервер Exchange 2007 установкой роли Client Access в Exchange Server 2007 SP1, новая политика по умолчанию Exchange ActiveSync будет создана и автоматически приписана всем почтовым ящикам пользователей Exchange 2007, которые еще не имеют приписанной политики EAS (Рисунок 2)

Рисунок 2. Политика по умолчанию Exchange ActiveSync приписана почтовому ящику пользователя.

Новая политика по умолчанию EAS конфигурируется довольно поверхностно, то есть она не обеспечивает надежности, требуемой в большинстве коммерческих организаций IT (она позволяет даже non-provisionable устройствам синхронизироваться с почтовым ящиком), но это лучше, чем полное отсутствие политики по умолчанию. Политика по умолчанию EAS конфигурируется настройками, показанными в Таблице 1. Как вы можете видеть, множество настроек политики в таблице являются новыми политиками, введенными в Exchange Server 2007 SP1, и мы посмотрим поближе на них в следующей секции.

Таблица 1. Конфигурационные настройки политики Exchange ActiveSync

Exchange ActiveSync Policy Settings	Configured Value
AllowNonProvisionableDevices	True
AlphanumericDevicePasswordRequired	False
AttachmentsEnabled	True
DeviceEncryptionEnabled	False
RequireStorageCardEncryption	False
DevicePasswordEnabled	True
PasswordRecoveryEnabled	True
DevicePolicyRefreshInterval	Unlimited
AllowSimpleDevicePassword	True
MaxAttachmentSize	Unlimited
WSSAccessEnabled	True
UNCAccessEnabled	True
MinDevicePasswordLength	4
MaxInactivityTimeDeviceLock	00:30:00
MaxDevicePasswordFailedAttempts	8
DevicePasswordExpiration	Unlimited
DevicePasswordHistory	0
IsDefaultPolicy	True
AllowStorageCard	True
AllowCamera	True
RequireDeviceEncryption	False
AllowUnsignedApplications	True
AllowUnsignedInstallationPackages	True
AllowWiFi	True
AllowTextMessaging	True
AllowPOPIMAPEmail	True
AllowIrDA	True
RequireManualSyncWhenRoaming	False
AllowDesktopSync	True
AllowHTMLEmail	True
RequireSignedSMIMEMessages	False
RequireEncryptedSMIMEMessages	False
AllowSMIMESoftCerts	True
AllowBrowser	True
AllowConsumerEmail	True
AllowRemoteDesktop	True
AllowInternetSharing	True
AllowBluetooth	Allow
MaxCalendarAgeFilter	All
MaxEmailAgeFilter	All
RequireSignedSMIMEAlgorithm	SHA1
RequireEncryptionSMIMEAlgorithm	TripleDES
AllowSMIMEEncryptionAlgorithmNegotiation	RequireEncryptionSMIMEAlgorithm
MinDevicePasswordComplexCharacters	3
MaxEmailBodyTruncationSize	Unlimited
MaxEmailHTMLBodyTruncationSize	Unlimited
UnapprovedInROMApplicationList	{}
ApprovedApplicationList	{}
ExternallyDeviceManaged	False
MailboxPolicyFlags	0

Вы можете просматривать и изменять настройки политики EAS на вашем сервере Client Access, открыв Exchange Management Shell и набрав команду

Get-ActiveSyncMailboxPolicy –Identity “Default”

или открыв страницу свойств Default EAS policy в Exchange Management Console.

Когда у вас будет одна или более настроенных политик EAS в дополнение к политике по умолчанию EAS, у вас будет возможность сделать одну из политик политикой по умолчанию, таким образом, эта политика будет присвоена всем почтовым ящикам пользователей Exchange 2007 (рисунок 3) вместо политики по умолчанию.

Рисунок 3. Указание политики по умолчанию Exchange ActiveSync.

Улучшение настройки политики Exchange ActiveSync

Как уже упоминалось, Exchange Server 2007 SP1 предлагает несколько новых политик EAS, которые позволяют нам ограничить функциональность и обеспечить даже большую безопасность мобильным устройствам, чем это было возможно в версии Exchange Server 2007 RTM. Мы сделаем обзор страницы свойств политики по умолчанию EAS и посмотрим, каким образом каждая новая политика влияет на работу мобильных устройств в вашей организации Exchange Server 2007. Начнем с запуска Exchange Management Console, затем щелкнем на узел Client Access под рабочим центром Organization Configuration (Конфигурация организации) (см. Рисунок 1). Так как политики EAS распространяются на всю организацию, именно в этом месте можно создавать и изменять их. Теперь щелкните правой кнопкой мыши на Default EAS policy(Политика EAS по умолчанию), и затем выберите Properties(Свойства) в контекстном меню. Как вы можете видеть, страница свойств состоит из пяти вкладок в Exchange Server 2007 SP1, а не двух, как это было в версии Exchange Server 2007 RTM. Введение трех дополнительных вкладок показывает, что в Exchange Server 2007 SP1 много улучшений.

Начнем с небольшого обзора вкладки General(Общие) (Рисунок 4). Здесь не так уж много изменений, разве только то, что мы теперь можем видеть, является ли соответствующая политика политикой по умолчанию, и еще то, что настройка Maximum attachment size (KB)(Максимальны размер прикрепления) заменена на Refresh interval (hours)(Интервал обновления (в часах)) (а настройка (the Maximum attachment size (KB) теперь находится во вкладке Sync Settings). В настройке Refresh interval (hours) мы можем указать, насколько часто мобильные устройства должны синхронизироваться с политикой Exchange ActiveSync с сервера.

Рисунок 4. Вкладка General на странице Default Exchange ActiveSync Property.

Теперь перейдем к вкладке Password(Пароль) (рисунок 5). Как вы видите, настройки в этой вкладке остались почти нетронутыми. Только одна новая настройка была добавлена в этой вкладке. Это Minimum number of complex characters(Минимальное число комплексных знаков), настройка, которая позволяет нам указывать минимальное число знаков, из которых состоит пароль.

Рисунок 5. Вкладка Password на странице свойств Default Exchange ActiveSync Property.

Поскольку я уже делал обзор всех настроек политики в этой вкладке в серии статей о мобильной передаче сообщений с помощью Exchange Server 2007, нет смысла делать это снова. Давайте перейдем к следующей вкладке — Sync Settings(Рисунок 6). Здесь мы можем настроить количество объектов почты и календаря, которое необходимо синхронизировать с устройством. Мы также можем указать ограничение на размер сообщений, позволять ли синхронизацию при роуминге, можно ли читать на устройстве сообщения в формате html и, наконец, можно ли загружать прикрепленные файлы и, если да, то какого максимального размера.

Рисунок 6. Вкладка Sync Settings на странице Default Exchange ActiveSync Property.

Вкладка Sync Settings — новая, поэтому я привожу таблицу (Таблица 2) с перечислением всех возможных настроек с их коротким описанием.

Таблица 2. Конфигурационные настройки политики Exchange ActiveSync

Настройка политики Exchange ActiveSync	Описание
Include Past Calendar items (Включить предшествующие объекты календаря)	Здесь вы можете указать, насколько долго должны храниться объекты календаря на мобильном устройстве. Выбор между: All (Все), Two Weeks (Двухнедельной давности), One Month (Месячной давности), Three Months (Трехмесячной давности) и Six Months (Шестимесячной давности).
Include past e-mail items (Включить предшествующие объекты электронной почты)	Здесь вы можете указать, насколько долго должны храниться объекты почты на мобильном устройстве. Выбор между: All (Все), Two Weeks (Двухнедельной давности), One Month (Месячной давности), Three Months (Трехмесячной давности) и Six Months (Шестимесячной давности).
Limit message size to (KB) (Ограничение размера сообщения)	Здесь вы можете указать максимальный размер почтовых сообщений, которые вы можете синхронизировать с мобильным устройством.
Allow synchronization when roaming (Позволить синхронизацию при роуминге)	Здесь вы можете разрешить или запретить пользователям синхронизировать мобильные устройства при роуминге.
Allow html formatted email (Позволить принятие почты в формате html)	Здесь вы можете указать, позволять ли пользователям читать сообщения в формате html.
Allow attachments to be downloaded to the device and maximum attachment size (KB) (Разрешить загружать прикрепленные данные и максимальный размер прикрепленных данных)	Здесь вы можете указать, позволять ли пользователям загружать прикрепленные к сообщению данные на их мобильное устройство. Кроме того, можно указать максимальный размер такого прикрепления.

Перейдем теперь к вкладке Device(Устройство) (Рисунок 7). На этой вкладке мы можем отключить возможности мобильного устройства, такие как: использование съемных карт памяти, встроенных камер, Wi-Fi, инфракрасного порта, совместного использования Internet, удаленного рабочего стола, синхронизация клиента Desktop ActiveSync, а также Bluetooth.

Рисунок 7. Вкладка Device на странице Default Exchange ActiveSync Property.

Вкладка Device — новая, поэтому я привожу таблицу (Таблица 3) с перечислением всех возможных настроек с их коротким описанием. Table 3: Exchange ActiveSync Policy Configuration Settings

Настройка политики Exchange ActiveSync	Описание
Allow removable storage (Позволить съемное хранилище)	Вы можете указать, могут ли пользователи мобильного устройства использовать съемные устройства хранения (карты памяти mini SD) в качестве хранилища данных в их мобильном устройстве.
Allow camera (Позволить использование камеры)	Вы можете запретить пользователям использовать камеры, которые включаются в большинство мобильных устройств Windows.
Allow Wi-Fi (Позволить использовать сетевую карту Wi-Fi)	Этой настройкой вы можете запретить пользователям использовать Wi-Fi (беспроводную сетевую карту), которая включается в большинство мобильных устройств Windows.
Allow infrared (Позволить инфракрасную связь)	Этой настройкой вы можете запретить пользователям использовать порт инфракрасной связи, который включается в большинство мобильных устройств Windows.
Allow Internet sharing from the device (Позволить совместное использование Internet с этого устройства)	Вы можете запретить пользователям использовать свойство совместного использования Internet, поставляющееся с устройствами Windows mobile 6.0. Это свойство позволяет подсоединять ноутбук к Internet через мобильное устройство.
Allow remote desktop from the device (Позволить подключение к удаленному рабочему столу с устройства)	Запрещение пользователям использовать свойство подключения к удаленному рабочему столу, которое включено во многие мобильные устройства Windows mobile. Это свойство позволяет удаленно подключаться к клиенту Windows XP/Vista или серверу Windows 2003/2008.
Allow synchronization from a desktop (Позволить синхронизацию с рабочим столом)	Разрешение и запрещение пользователям использовать клиент Desktop ActiveSync для синхронизации с мобильным устройством. При запрете пользователи могут реализовывать синхронизацию только беспроводным образом.
Allow Bluetooth (Позволить Bluetooth)	Позволение и запрещение пользователям использовать соединение Bluetooth. Вы также можете указать, должны ли пользователи использовать Bluetooth только при громкоговорящей связи.

Замечание: Все настройки на вкладке Device являются премиум-свойствами, что означает, что вы обязаны иметь Exchange Enterprise CAL (Client Access License — Клиентская лицензия доступа) для использования их.

Перейдем к последней вкладке — Advanced(Дополнительно). Как можно видеть на Рисунке 8, мы можем указывать, разрешено ли пользователям мобильных устройств использовать браузер Internet, абонентскую почту, неподписанные приложения, устанавливать неподписанные инсталляционные пакеты. Кроме того, существует возможность разрешать или блокировать конкретные приложения.

Рисунок 8. Вкладка Advanced на странице Default Exchange ActiveSync Property.

Вкладка Advanced— также новая, поэтому я привожу таблицу (Таблица 4) с перечислением всех возможных настроек с их коротким описанием.

Таблица 4. Конфигурационные настройки политики Exchange ActiveSync

Настройка политики Exchange ActiveSync	Описание
Allow browser (Разрешить браузер)	Разрешить или запретить пользователям использовать браузер на их мобильных устройствах.
Allow consumer mail (Разрешить абонентскую почту)	Разрешить или запретить пользователям получать их абонентскую почту на мобильные устройства.
Allow unsigned applications (Разрешить неподписанные приложения)	При включенной настройке пользователи мобильных устройств могут запускать приложения, не подписанные доверяемым сертификатом
Allow unsigned installation packages (Разрешить неподписанные инсталляционные пакеты)	При включенной настройке пользователи мобильных устройств могут устанавливать приложения, не подписанные доверяемым сертификатом

Кроме настроек, указанных в Таблице 4, вы можете еще вносить любые приложения в списки Allowed(Разрешенные) и Blocked(Заблокированные).

Замечание: Все настройки на вкладке Advanced являются премиум-свойствами, что означает, что вы обязаны иметь Exchange Enterprise CAL (Client Access License — Клиентская лицензия доступа) для использования их.

Те из вас, которые обратили особое внимание на Таблицу 1, заметили, что не все новые настройки политики в Exchange Server 2007 SP1 показаны в GUI EMC. Следующие политики должны управляться из среды Exchange Management Shell:

• AllowTextMessaging(Разрешить отправку текстовых сообщений)
• AllowPOPIMAPEmail(Разрешить почту POP/IMAP)
• RequireSignedSMIMEMessages(Требовать сообщений, подписанных S/MIME)
• RequireEncryptedSMIMEMessages(Требовать сообщений, зашифрованных S/MIME)
• AllowSMIMESoftCerts(Разрешить SoftCerts S/MIME)
• RequireSignedSMIMEAlgorithm(Требовать алгоритма, подписанного S/MIME)
• RequireEncryptionSMIMEAlgorithm(Требовать алгоритма, зашифрованных S/MIME)
• AllowSMIMEEncryptionAlgorithmNegotiation(Разрешить согласование алгоритмов шифрования S/MIME)
• MaxEmailBodyTruncationSize(Максимальный размер усечения тела почты)
• MaxEmailHTMLBodyTruncationSize(Максимальный размер усечения html тела почты)
• UnapprovedInROMApplicationList(Список приложений неутвержденных в ROM)
• ExternallyDeviceManaged(Управляемое внешнее устройство)
• MailboxPolicyFlags(Флаги политики почтового ящика)

Время покажет, будут ли эти настройки включены в GUI в RTM версии Exchange Server 2007 SP1.

Подтверждение удаленного обнуления

Кроме новой политики по умолчанию EAS и введения некоторых новых настроек политики, Exchange Server 2007 SP1 также включает в себя улучшения, связанные со свойством удаленного обнуления, которое используется для удаленного сброса настроек мобильного устройства на настройки по умолчанию в случае потери устройства. Так как это свойство хорошо работает, изменилось немногое, но теперь на почтовый ящик пользователя высылается подтверждение после того, как произошло удаленное обнуление. Это происходит и в том случае, если обнуление было инициировано администратором Exchange через Exchange Management Console или Exchange Management Shell, также как и пользователем на странице Mobile Devices в Options(Опции) в Outlook Web Access 2007(Рисунок 9).

Рисунок 9. Успешное удаленное обнуление через OWA 2007

Подтверждение удаленного обнуления выглядит следующим образом (Рисунок 10)

Рисунок 10. Подтверждение удаленного обнуления.

In addition, you now have the option of cancelling a remote wipe both from OWA 2007 and the Exchange Management Console/Shell.

Предварительная обработка данных протокола Direct Push

Команда Front End группы Exchange product также улучшила протокол Direct Push — протокол, используемый Exchange ActiveSync.Команде удалось еще больше уменьшить размер заголовков https запроса и ответа, что уменьшает общий объем данных, пересылаемых между устройствами и серверами Client Access. Хотя это улучшение и незаметно для обычных пользователей, оно достаточно важно: это значит, что организации Enterprise, где большинство конечных пользователей синхронизируют свои мобильные устройства с почтовыми ящиками, смогут уменьшить расходы на беспроводную передачу данных.

Заключение

IT организации, требующие строго определенной политики для всех типов клиентов в организации, выиграют от использования новых настроек политики Exchange ActiveSync, доступных в Exchange Server 2007 SP1, так как они позволяют вам запрещать или позволять большинство возможностей на мобильных устройствах. Также, новая политика по умолчанию EAS стала намного умнее, что отражает общую стратегию “надежность по умолчанию”, принятую в группе Exchange Product. И, наконец, улучшения, сделанные в протоколе Direct Push с целью уменьшения объема пересылаемых между мобильными устройствами и серверами данных, будут приветствоваться любым техническим директором, ответственным за общий IT бюджет организации.