ngn exchange middag: hoe integreert exchange met iis
TRANSCRIPT
Hoe integreert Exchange met IIS
Johan Veldhuis| Technical Consultant | Communicativ
Agenda• Introductie• IIS Integratie• Certificaten• Do’s en don’ts
IntroductieWie heeft er weleens problemen gehad met Exchange na aanpassingen vanuit IIS management console?
IIS Integratie | ComponentenExchange 2003 Exchange 2007* Exchange 2010
.NET Framework 1.1 .NET Framework 2.0 .NET Framework 3.5.1 SP1
ASP.NET ASP.NET ASP.NET
IIS Web Server Web Server
Word Wide WebPublishing Service
ISAPI Extensions ISAPI Extensions
SMTP Service Metadatabase Metadatabase
NNTP Service Legacy Management Console Legacy Management Console
Basic Authentication Basic Authentication
Digest Authentication Digest Authentication
Windows Authentication Windows Authentication
Dynamic Compression Dynamic Compression
* uitgaande van een Windows 2008 OS
IIS Integratie | ApplicatiesExchange 2003 Exchange 2007 Exchange 2010
Microsoft-Server-ActiveSync
Autodiscover Autodiscover
OMA EWS ECP
Exadmin EWS
Exchange Microsoft-Server-ActiveSync
Microsoft-Server-ActiveSync
OWA
OWA Powershell
Public Rpc
Rpc RpcWithCert
RpcWithCert
UnifiedMessaging
IIS Integratie | Virtuele directoriesExchange 2003 Exchange 2007 Exchange 2010
Exadmin OAB Exchange
Exchange Exchweb
ExchWeb OAB
Public Public
IIS Integratie | Application poolsExchange 2003 Exchange 2007 Exchange 2010
ExchangeApplicationPool
MSExchangeAutoDiscoveryAppPool MSExchangeAutodiscoverAppPool
ExchangeMobileBrowseApplicationPool
MSExchangeOWAAppPool MSExchangeECPAppPool
MSExchangeServicesAppPool MSExchangeOWAAppPool
MSExchangeSyncApp MSExchangeOWACalendarAppPool
MSExchangeUMAppPool MSExchangePowerShellAppPool
MSExchangeServicesAppPool
MSExchangeSyncApp
IIS Integratie | Waar wordt data opgeslagenOpslag Exchange 2003 Exchange 2007 Exchange 2010
IIS Metabase X X X
Active Directory X X X
Register X X X
Web.config X X
IIS Integratie | Backup & restore• Exchange 2003
– Backup: complete server– Restore: complete server
• Exchange 2007/2010– Backup: complete server– Restore:
• Setup.com /m:recoverserver• Restore van de metabase• Restore web.config bestanden• Installeren van het certificaat• Restore van eventuele OWA customizations
Certificaten | Welke soorten zijn er?• Webserver certificaat
– Enkele naam op het certificaat, bijvoorbeeld webmail.domain.com– Goedkoop– Werkt op de meeste mobiele devices
• Unified Communications (UC) certificaat– Meerdere namen op het certificaat– Niet nodig voor Exchange 2003
• Wildcard certificaat– Kan gebruikt worden voor meerdere subdomeinen, bijvoorbeeld
webmail.domain.com, autodiscover.domain.com, mail.domain.com– Werkt niet op oudere mobiele devices– Minder veilig als een webserver/UC certificaat– Mogelijke problemen met integratie met andere applicaties
Certificaten | Welke types CA’s zijn er?• Self signed
– Exchange 2003: handmatig genereren m.b.v. IIS 6 Resource kit– Exchange 2007/2010: automatisch gegenereerd tijdens setup– Werkt met een beperkt aantal services– Certificaat moet eenwezig zijn alle clients/servers
• Windows Public Key Infrastructure (PKI)– Werkt met alle services– Root certificaat dient aanwezig te zijn op de clients– Certificaat dient middels een Certificate Signing Request (CSR)
aangevraagd te worden
• 3rd Party Certificate Authority (CA)– Werkt met alle services– Meeste root certificaten van een CA zijn al aanwezig op de clients– Certificaat dient middels een Certificate Signing Request (CSR)
aangevraagd te worden
Certificaten | Demo• Omgeving:
– Domain Controller is ook CA server– Standaard Exchange 2010 installatie
• Huidige situatie:– Self-signed certificaat is toegewezen
Certificaten | Hoe te herkennen?
Certificaten | Welk soort wordt ondersteund?
Type certificaat Exchange 2003 Exchange 2007 Exchange 2010
Webserver X
Unified Communications X X
Wildcard X X X
Certificaten | Best practices• Gebruik een 3rd party certificaat• Exchange 2003: gebruik een web certificaat• Exchange 2007/2010: gebruik een UC certificaat• Exchange 2010: gebruik de certificate wizard• Zo weinig mogelijk namen in het SAN veld
Troubleshooting• Log bestanden van IIS• Probeer de sites te openen via een web browser
– https://webmail.domain.com– https://autodiscover.domain.com/autodiscover/autodiscover.xml– https://mail.domain.com/ews/exchange.asmx
• Gebruik www.testexchangeconnectivity.com• Gebruik test- Powershell cmdlets:
– Test-ActiveSync– Test-EcpConnectivity– Test-OutlookConnectivity– Test-OutlookWebServices– Test-OwaConnectivity– Test-WebServicesConnectivity
Do’s en Don’ts
Do’s en Don’ts | Authenticatie aanpassen | Don’t
Do’s en Don’ts | Authenticatie aanpassen | Do
• Exchange Management Console• Exchange Management Shell:
OWA Form-based authenticatie configurerenSet-OwaVirtualDirectory "CAS\owa (Default Web Site)" -FormsAuthentication $true -LogonFormat UserName -DefaultDomain corp.local
ActiveSync authenticatie configurerenSet-ActiveSyncVirtualDirectory -Identity "CAS\Microsoft-Server-ActiveSync (Default
Web Site)“-BasicAuthEnabled:$true
Do’s en Don’ts | Port 80 binding verwijderen | Don’t
• Verwijder poort 80 binding niet van de default website• EMS/EMC maken connectie via poort 80 met Powershell
Do’s en Don’ts | Port 80 binding verwijderen | Do
• Maak een aparte website aan die luistert op een specifiek IP adres
• Schakel require https uit op de default website en stel daar redirection op in
Do’s en Don’ts | Require HTTPS uitschakelen | Don’t
• Wanneer dit op hoofdniveau wordt uitgeschakeld zal dit ook op onderliggende virtual directories uitgeschakeld worden.
• Hierdoor zullen diverse functionaliteiten ook via HTTP beschikbaar zijn.
Do’s en Don’ts | Require HTTPS uitschakelen | Do
• Schakel het op hoofdniveau uit• Schakel dit op de volgende mappen weer in:
– AutoDiscover– ecp– EWS– Microsoft-Server-ActiveSync– Owa– Rpc
• Reset IIS /Noforce
Do’s en Don’ts | Redirection | Don’ts
• Wanneer op hoofdniveau redirection wordt geconfigureerd zal dit ook op onderliggende virtual directories toegepast worden.
• Hierdoor zullen diverse functionaliteiten niet meer werken.
• Schakel redirection in op de default website• Vergeet redirection niet uit te zetten op de volgende
mappen:– asp_net_client– Autodiscover– Ecp– EWS– Microsoft-Server-ActiveSync– OAB– PowerShell– Rpc
Do’s en Don’ts | Redirection | Do
Links• Exchange 2007: Script om OWA Vdir configuratie te
backupen:– http://technet.microsoft.com/en-us/library/aa998364(EXCHG.80).aspx
• DigiCert Windows SSL Management tool:– https://www.digicert.com/util/
• How to backup and recover a CAS Server:– http://technet.microsoft.com/en-us/library/bb124359(EXCHG.80).aspx
Vragen?
Bedankt voor uw aandacht
Johan Veldhuis:
E-mail: [email protected]: www.johanveldhuis.nlTwitter: @jveldh