Trong hộp thoại Client DCA Properties, vào tab Permission Groups, đánh dấu chọn Anonymous users, chọn OK Mở Services từ Administrative Tools, chuột phải Microsoft Exchange Transport ch
Trang 1QUẢN LÝ CLIENT ACCESS TRÊN EXCHANGE SERVER 2007-PHẦN I: SMTP, MAPI (RPC), POP, IMAP, OUTLOOK WEB ACCESS (HTTP)
I. Giới thiệu
Trong hệ thống mail thông thường, để kết nối tới mail server ta phải sử dụng các chương trình mail client như Outlook Express,
Windows Mail, Microsoft Outlook, Eudora…
Microsoft Exchange Server là một trong những Mail Server hỗ trợ đầy đủ các protocol kết nối như: SMTP,ESMTP, MAPI(RPC), POP, IMAP, HTTP
Trong hệ thống Exchange, để sử dụng tất cả các tính năng của Exchange Server hỗ trợ (Gởi nhận e-mail, truy cập Public Folder, Exchange Address List…), các user phải kết nối tới Exchange server bằng MAPI, một trong các chương trình MAPI Client là Microsoft Outlook
Đặt điểm của protocol MAPI là kết nối theo cơ chế Remote Procedure Call (RPC) Cơ chế kết nối của RPC có cấp độ bảo mật không cao
vì Exchange server cho phép các Client kết nối vào Endpoint Mapper (EPM), nên Exchange server có thể bị lộ port khi cho phép các máy client từ Internet kết nối RPC
Vì vậy, để bảo mật các kết nối trong hệ thống Exchange chúng ta có các quy tắc sau:
- Cho phép các client trong nội bộ kết nối tới Exchange Server bằng MAPI (RPC)
- Không cho phép các client trên Internet kết nối tới Exchange server bằng MAPI (RPC), mà chỉ cho kết nối bằng POP, IMAP,HTTP, RPC over HTTP
Trong bài viết này, chúng tôi sẽ giới thiệu cách cấu hình các cơ chế kết nối trong hệ thống Exchange Server 2007.
Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)
Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Phần III: Oulook Anywhere (RPC over HTTP)
Phần I bao gồm các bước:
1 Cấu hình Send Connector và Receive Connector
2 Kết nối MAPI (RPC)
3 Kết nối POP và SMTP
4 Kết nối IMAP và SMTP
5. Kết nối HTTP-Outlook Web Access
II Chuẩn bị
- Một máy Exchange Server 2007 SP1 (DCA.msopenlab.com)
- Một máy Client đã Join domain
- Tạo 2 Mailbox User: Hieu và Trong có password là P@ssword
III Thực hiện
1 Cấu hình Send Connector và Receive Connector
Sau khi cài đặt Exchange Server 2007, mặc định Exchange server không gởi và nhận mail được với domain khác Để Exchange Server gởi mail tới domain khác ta phải tạo Send Connector, để Exchange Server nhận được mail từ domain khác ta phải cấu hình Receive Connector
Tại máy Exchange Server, mở Exchange Management Console, bung Organization Configuration, chuột phải Hub Transport chọn New Send Connector
Hộp thoại Introduction, đặt tên cho connector là “Mail to Internet”, chọn Next
Trang 2Hộp thoại Address Space, chọn Add Hộp thoại SMTP Address Space, nhập dấu * vào ô Address, đánh dấu chọn Include all subdomains, nhập số 1 vào ô Cost, chọn OK, chọn Next
Hộp thoại Network Setting, chọn Use domain name system (DNS) “MX” record to route mail automatically, chọn Next
Hộp thoại Source Server, chọn Next
Hộp thoại New Connector, chọn New Hộp thoại Completion, chọn Finish
Trong cửa sổ Exchange Management Console, bung Server Configuration, chọn Hub Transport, chuột phải Default DCA chọn Properties
Trang 3Trong hộp thoại Default DCA Properties, vào tab Authentication, bỏ dấu chọn Offer Basic authentication only after starting TLS
Trong hộp thoại Default DCA Properties, vào tab Permission Groups, đánh dấu chọn Anonymous users, chọn OK
Tương tự, chuột phải Client DCA, chọn Properties
Trong hộp thoại Client DCA Properties, bỏ dấu chọn Offer Basic authentication only after starting TLS
Trang 4
Trong hộp thoại Client DCA Properties, vào tab Permission Groups, đánh dấu chọn Anonymous users, chọn OK
Mở Services từ Administrative Tools, chuột phải Microsoft Exchange Transport chọn Restart
Mở Microsoft Outlook, gởi e-mail tới địa chỉ tt_hoang@hotmail.com (hoặc địa chỉ mail bất kỳ trên Internet), kiểm tra gởi và nhận mail
thành công
2. Kết nối MAPI (RPC)
Tại máy Client, logon MSOPENLAB\Administrator, mở Micosoft Outlook
Hộp thoại Outlook 2007 Startup, chọn Next Hộp thoại Setup E-mail Account, chọn Yes Hộp thoại Auto Account Setup, đánh dấu chọn Manually configure server setting or additional server tupe, chọn Next
Lưu ý: bạn có thể sử dụng chức năng Auto Discovery để cấu hình Microsoft Outlook tự động, nhưng trong bài viết này sử dụng cách cấu hình bằng tay nhằm mục đích hiểu rõ chế độ kết nối MAPI(RPC).
Hộp thoại Choose E-mail Services, chọn Microsoft Exchange, chọn Next
Hộp thoại Microsoft Exchange Settings, nhập DCA.MSOpenLab.com vào ô Microsoft Exchange server, nhập Administrator vào ô User Name, chọn Check Name, chọn Next, Finish
Trong cửa sổ Microsoft Outlook, chọn New, gởi mail tới địa chỉ administrator@msopenlab.com
Trong cửa sổ Microsoft Outlook, kiểm tra nhận được e-mail gởi cho chính Administrator
3. Kết nối POP và SMTP
a. Cấu hình POP Access
Tại máy Exchange Server, mở Exchange Management Shell, gõ lệnh:
Set-PopSettings –LoginType PlainText Login
Trang 5
Kiểm tra Login Type, gõ lệnh: Get-PopSettings | Format-List
Mở Services từ Administrative Tools, chuột phải Microsoft Exchange POP3, chọn Properties
Hộp thoại Microsoft Exchange POP3 Properties, bung Startup type chọn Automatic, chọn Start, chọn OK
b. Cấu hình Outlook Express:
Khi kết nối tới Exchange Server bằng POP hoặc IMAP ta không nhất thiết phải sử dụng Microsoft Outlook vì tất cả các mail client đều
hỗ trợ POP và IMAP
Tại máy Client, logon MSOPENLAB\Hieu, mở Outlook Express Trong hộp thoại Your Name, nhập Hieu vào ô Display name, chọn Next
Hộp thoại Internet E-mail Address, nhập Hieu@msopenlab.com vào ô E-mail address, chọn Next
Hộp thoại E-mail Server Names, trong ô My incoming mail server is a chọn POP3, nhập DCA.msopenlab.com vào ô Incoming mail
và Outgoing mail, chọn Next
Hộp thoại Internet Mail Logon, nhập Hieu vào ô Account name, nhập P@ssword vào ô Password, chọn Next, Finish
Trong cửa sổ Outlook Express, bung Tools, chọn Accounts
Cửa sổ Internet Accounts, chọn DCA.msopenlab.com, chọn Properties
Cửa sổ DCA.msopenlab.com Properties, vào tab Servers, đánh dấu chọn My server requires authentication, chọn OK
Trong cửa sổ Outlook Express, chọn Create Mail, gởi e-mail đến địa chỉ administrator@msopenlab.com
Logon MSOPENLAB\Administrator, mở Microsoft Outlook, kiểm tra nhận được e-mail gởi từ Hieu
Reply e-mail cho Hieu@msopenlab.com
Logon MSOPENLAB\Hieu, mở Outlook Express, kiểm tra nhận được e-mail trả lời từ Administrator
Trang 64 Kết nối IMAP và SMTP
a Cấu hình IMAP Access
Tại máy Exchange Server, mở Exchange Management Shell, gõ lệnh:
Set-IMAPSettings –LoginType PlainTextLogin
Kiểm tra cơ chế Login Type, gõ lệnh: Get-IMAPSettings | Format-List
Mở Services từ Administrative Tools, chuột phải Microsoft Exchange IMAP4, chọn Properties
Trong hộp thoại Microsoft Exchange IMAP4 Properties, bung Startup type, chọn Automatic, chọn Start, OK
b. Cấu hình Outlook Express
Tại máy Client, logon MSOPENLAB\Trong Mở Outlook Express, trong hộp thoại Your Name, nhập Trong vào ô Display name, chọn Next
Hộp thoại Internet E-mail Address, nhập Trong@msopenlab.com vào ô E-mail Address, chọn Next
Hộp thoại E-mail Server Names, trong ô My incoming mail server is a chọn IMAP, nhập DCA.msopenlab.com vào ô Incoming mail và Outgoing mail, chọn Next
Hộp thoại Internet Mail Logon, nhập Trong vào ô Account name, nhập P@ssword vào ô Password, chọn Next, Finish
Trong cửa sổ Outlook Express, bung menu Tools, chọn Account, chọn DCA.msopenlab.com, chọn Properties Trong hộp thoại DCA.msopenlab.com Properties, vào tab Servers, đánh dấu chọn My server requires authentication, chọn OK
Khi nhận được hộp thoại thông báo Outlook Express, chọn Yes
Trong cửa sổ Show/Hide IMAP Folders, chọn OK
Trang 7
Trong cửa sổ Outlook Express, chọn Create Mail, gởi mail tới địa chỉ Hieu@msopenlab.com
Logon MSOPENLAB\Hieu, mở Outlook Express, kiểm tra nhận đuợc e-mail gởi từ Trong Mở E-mail gởi từ Trong, chọn Reply, trả
lời mail cho Trong@msopenlab.com
Logon MSOPENLAB\Trong, mở Outlook Express, kiểm tra nhận được e-mail trả lời từ Hieu
5. Kết nối HTTP-Outlook Web Access
Tại máy Client, mở Internet Explorer, truy cập http://DCA.msopenlab.com/owa , kiểm tra nhận dược thông báo yêu cầu truy cập bằng
HTTPS
Tại máy Server, mở Internet Information Services (IIS) Manager từ Administrative Tools, bung DCA, bung Web Sites, chuột phải Default Web Sites chọn Properties
Trong hộp thoại Default Web Sites Properties, vào tab Directory Security, chọn Edit trong phần Authentication and access control Trong hộp thoại Secure Communications, bỏ dấu chọn Require secure channel (SSL), chọn OK
Trong hộp thoại Default Web Sites Properties, chọn Apply Hộp thoại Inheritance Overrides chọn Select All, chọn OK 2 lần Tại máy Client, mở Internet Explorer, truy cập http://DCA.msopenlab.com/owa Trong cửa sổ Outlook Web Access, nhập
MSOPENLAB\Hieu vào ô Domain\user name, nhập P@ssword vào ô Password, chọn Logon
Trong ô Language và Current time zone, chọn lựa chọn hợp lý, chọn OK
Trong cửa sổ Outlook Web Access (OWA), chọn New
Gởi e-mail tới địa chỉ Trong@msopenlab.com
Tương tự, truy cập Outlook Web Access (OWA) bằng quyền Trong, kiểm tra nhận được E-mail gởi từ Hieu
QUẢN LÝ CLIENT ACCESS TRÊN EXCHANGE SERVER 2007-PHẦN II: SMTPS, POPS, IMAPS, SECURE OUTLOOK WEB ACCESS (HTTPS)
I. Giới thiệu
Trong phần I, chúng tôi đã giới thiệu với các bạn cách cấu hình các cơ chế kết nối SMTP, MAPI(RPC), POP, IMAP, HTTP trên Exchange Server 2007 Nhưng trong hệ thống E-mail hiện nay, các kết nối SMTP, POP, IMAP, HTTP có cấp độ bảo mật không cao vì các gói tin được gởi bằng chế độ clear text (không mã hóa) nên có thể để lộ thông tin (username và password…) của người dùng
Vì vậy, để đáp ứng nhu cầu bảo mật trong hệ thống e-mail hiện nay, chúng ta có thể áp dụng Secure Socket Layer (SSL), để mã hóa thông tin và nội dung cho các gói tin SMTP, POP, IMAP, HTTP
Trong phần II, chúng tôi sẽ giới thiệu với các bạn cách cấu hình các kết nối SMTPS, POPS, IMAPS và HTTPS trên Exchange Server 2007
Bài viết bao gồm các phần:
Phần I: SMTP, MAPI (RPC), POP, IMAP, Oulook Web Access (HTTP)
Phần II: SMTPS, POPS, IMAPS, Secure Outlook Web Access (HTTPS)
Trang 8Phần III: Oulook Anywhere (RPC over HTTP)
Phần II bao gồm các bước:
1. Cài đặt Enterprise CA
2. Xin Certificate cho Exchange Server
3 Kết nối POPS và SMTPS
4 Kết nối IMAPS và SMTPS
5. Kết nối HTTPS-Secure Outlook Web Access
6. Đơn giản địa chỉ truy cập Secure Outlook Web Access
II. Chuẩn bị
Để thực hiện phần II, yêu cầu thực hiện hoàn tất phần I
III Thực hiện
1. Cài đặt Enterprise CA
Tại máy Exchange Server, mở Control Panel, mở Add or Remove Programs, chọn Add/Remove Windows Components
Trong hộp thoại Windows Components, đánh dấu chọn Certificate Services
Hộp thoại Microsoft Certificate Services, chọn Yes, chọn Next
Hộp thoại CA Type, chọn Enterprise root CA, chọn Next
Hộp thoại CA Identifying Information, nhập MSOPENLAB-CA vào ô Common name for this CA, chọn Next
Hộp thoại Certificate Database Settings, chọn Next
Hộp thoại Microsoft Certificate Services, chọn Yes
Lưu ý: trong quá trình cài đặt, nếu hệ thống yêu cầu CD cài đặt Windows Server 2003 thì trỏ đường dẫn đến thư mục I386 trong CD
cai đặt Windows Server 2003
Hộp thoại yêu cầu enable Active Server Pages, chọn Yes
Hộp thoại Completing the Windows Components Wizard, chọn Finish
Mở Certificate Authority từ Administrative Tools, kiểm tra cài đặt CA thành công
2. Xin Certificate cho Exchange Server
Tại máy Exchange Server, mở Internet Information Services (IIS) Manager, bung Web Site, chuột phải Default Web Site, chọn Properties
Hộp thoại Default Web Site Properties, vào tab Directory Security, chọn Server Certificate
Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next
Hộp thoại Modify the Current Certificate Assignment, chọn Remove the current certificate, chọn Next
Hộp thoại Remove a Certificate, chọn Next Hộp thoại Completing the Web Server Certificate Wizard, chọn Finish
Trong hộp thoại Default Web Site Properties, chọn Server Certificate
Hộp thoại Welcome to the Web Server Certificate Wizard, chọn Next
Hộp thoại Server Certificate, đánh dấu chọn Create a new certificate, chọn Next
Hộp thoại Delayed or Immediate Request, chọn Send the request immediately to an online certification authority, chọn Next Hộp thoại Name and Security Settings, chọn Next
Hộp thoại Organization Information, nhập thông tin như hình bên dưới, chọn Next
Hộp thoại Your Site’s Common Name, nhập dca.msopenlab.com vào ô Common name (dca.msopenlab.com là tên của máy Exchange Server), chọn Next
Trang 9Warning: If you did for host mail internet, you must put host name external
Ex: mail.infotelvn.com
Hộp thoại Geographical Information, nhập thông tinh như hình bên dưới, chọn Next
Hộp thoại SSL Port, giữ mặc định port 443, chọn Next
Hộp thoại Choose a Certification Authority, chọn Next
Hộp thoại Certificate Request Submission, chọn Next Hộp thoại Completing the Web Server Certificate Wizard, chọn Finish
Hộp thoại Default Web Site Properties, chọn View Certificate
Trong hộp thoại Certificate, vào tab Details, chọn Thumbprint, copy chuỗi thumbprint bên ô dưới, chọn OK
Mở Exchange Management Shell, gõ lệnh:
Enable-ExchangeCertificate –Thumbprint “chuỗi thumbprint không có khoảng trắng” –Services “POP, IMAP, SMTP, IIS”
3. Kết nối POPS và SMTPS
Tại máy Client, logon MSOPENLAB\Hieu, mở Outlook Express, bung Tools, chọn Accounts
Hộp thoại Internet Account, vào tab Mail, chọn Properties
Hộp thoại DCA.msopenlab.com Properties, vào tab Advanced, đánh dấu chọn vào 2 ô This server requires a secure connection (SSL), chọn OK
Trang 10
Trong cửa sổ Outlook Express, chọn Create Mail, gởi e-mail tới Trong@msopenlab.com
Logon MSOPENLAB\Trong, mở Outlook Express, vào Inbox, kiểm tra nhận được e-mail gởi từ Hieu
4. Kết nối IMAPS và SMTPS
Tại máy Client, logon MSOPENLAB\Trong, mở Outlook Express, chọn Tools, chọn Accounts
Trong hộp thoại Internet Accounts, vào tab Mail, chọn Properties
Hộp thoại DCA.msopenlab.com Properties, vào tab Advanced, đánh dấu chọn vào 2 ô This server requires a secure connection (SSL), chọn OK
Hộp thoại thông báo Outlook Express, chọn Yes
Trong cửa sổ Outlook Express, chọn Create Mail, gởi e-mail tới Hieu@msopenlab.com
Logon MSOPENLAB\Hieu, kiểm tra nhận được e-mail gởi từ Trong
Trang 11
5 Kết nối HTTPS-Secure Outlook Web Access
Tại máy Client, truy cập địa chỉ https://DCA.msopenlab.com/owa Đăng nhập bằng account MSOPENLAB\Hieu, password là
P@ssword
Trong cửa sổ Outlook Web Access, chọn New, gởi e-mail tới địa chỉ Trong@msopenlab.com
Đăng nhập Outlook Web Access bằng quyền MSOPENLAB\Trong, password là P@ssword
Trong cửa sổ Outlook Web Access, kiểm tra nhận được e-mail gởi từ Hieu
6. Đơn giản địa chỉ truy cập Secure Outlook Web Access
Để truy cập Secure OWA chúng ta phải truy cập bằng địa chỉ https://DCA.msopenlab.com/owa với địa chỉ như vậy, người sử dụng sẽ
rất khó nhớ Vì vậy, chúng ta sẽ cấu hình IIS để có thể truy cập Secure OWA bằng địa chỉ đơn giản http://mail.msopenlab.com mà vẫn
có mã hóa gói tin bằng SSL
Trong cửa sổ DNS, tạo Alias recore mail.msopenlab.com trỏ đến host của máy Exchange Server