Exchange Server 2007
Sempre in contatto con Exchange 2007
Joshua Trupin
Panoramica:
- Novità in Outlook Web Access
- Messaggistica unificata in Exchange Server 2007
- Protezione con ISA Server 2006
Solo alcuni anni fa le opzioni di comunicazione in linea erano poche. Si inviavano messaggi di posta elettronica tramite POP3 e SMTP, tutto molto semplice. Le esigenze cambiano con il passare del tempo e oggi per le organizzazioni è importante garantire ai propri dipendenti
la flessibilità necessaria per lavorare ovunque e in qualsiasi modo, con tutta la protezione del caso. In Microsoft® Exchange Server 2007 sono state integrate alcune funzioni che consentono di soddisfare queste esigenze, tra cui Microsoft Office Outlook® Web Access (OWA) e Messaggistica unificata. Nell'articolo vengono presi in esame questi due componenti chiave di Exchange Server 2007 e si dimostra come le nuove versioni siano molto più efficaci nella creazione di una piattaforma di comunicazione senza compromessi per le aziende di oggi.
OWA fa parte di Exchange fin dalla versione 5.5. A dire il vero, le prime versioni non erano molto funzionali. Rappresentavano una semplice risposta alla necessità di accedere a una cassetta postale Exchange tramite un browser Web, ma senza molte delle funzionalità caratteristiche di Outlook.
Con i miglioramenti della versione fornita con Exchange Server 2003, l'OWA ha iniziato ad apparire più ricco. L'accesso alla cassetta postale con il browser era molto più naturale e somigliava all'utilizzo di un normale programma client. OWA per Exchange Server 2007 rappresenta un ulteriore e decisivo passo avanti, grazie a una completa riscrittura delle versioni precedenti, e consente di sfruttare altre recenti innovazioni tecniche come RPC su HTTP e ASP.NET 2.0.
Basta prendere in considerazione, ad esempio, il nuovo rendering di OWA. Nelle versioni precedenti il rendering veniva eseguito dal server della cassetta postale, durante il processo di archiviazione. Questo ulteriore carico sul server cassette postali era causa potenziale di rallentamenti del sistema. Con Outlook Web Access 2007, invece, il rendering dei dati viene eseguito tramite ASP.NET, sui server Accesso client (CAS). In tal modo l'elaborazione della pagina non è più a carico del server cassette postali, con un conseguente miglioramento delle prestazioni.
Sono state modificate anche le operazioni eseguite sul front end. Nelle versioni precedenti di Exchange, le richieste HTTP di OWA venivano inoltrate come proxy al server postali appropriato. Con Exchange Server 2007 il traffico associato a OWA si riduce, perché i dati vengono recuperati direttamente dal server cassette postali appropriato tramite RPC. È più o meno lo stesso processo che consente di utilizzare Outlook su un client che non si trova su una connessione di rete privata virtuale (VPN) all'interno dell'azienda. Il rendering delle informazioni della cassetta postale viene eseguito da OWA. Con Exchange Server 2007 è inoltre possibile gestire come proxy le richieste di OWA, che in questo caso vengono inoltrate ai server CAS invece di essere inviate direttamente ai server cassette postali.
Nella Figura 1 viene illustrata l'architettura di OWA su Exchange Server 2007.
Figura 1** Accesso alle risorse di Exchange Server da parte di OWA **(Fare clic sull'immagine per ingrandirla)
Amministrazione
Nell'architetture tutta nuova di Exchange Server 2007 sono incluse utili opzioni per l'amministrazione di OWA. È possibile utilizzare Exchange Management Console o l'Exchange Management Shell. Le impostazioni di configurazione vengono archiviate in posizioni diverse.
Exchange Management Console consente di accedere alla maggior parte delle impostazioni di configurazione possibili, ad esempio all'attivazione o disattivazione delle funzioni tramite la segmentazione, al blocco degli allegati e all'autenticazione, oltre che a funzioni come il calendario, Elenco attività e la correzione ortografica. Tutte le operazioni che è possibile eseguire con la Exchange Management Console possono essere anche effettuate l'Exchange Management Shell.
L'Exchange Management Shell consente inoltre di creare ed eliminare nuove directory virtuali per OWA. È possibile controllare in modo più dettagliato le impostazioni di segmentazione in base all'utente e modificare, tra l'altro, l'impostazione della lingua predefinita.
I timeout dell'autenticazione basata sui moduli vengono archiviati per impostazione predefinita nel Registro di sistema di Windows (queste impostazioni non sono disponibili con Exchange Management Console o nell'Exchange Management Shell). Tramite Active Directory® è possibile accedere a impostazioni specifiche di OWA, come blocco degli allegati e segmentazione. Nella metabase di IIS sono contenute alcune impostazioni (autenticazione, GZIP) che influiscono sul comportamento di IIS. In web.config sono invece contenute le impostazioni di ASP.NET, come "maxuploadsize" con cui si controlla il caricamento degli allegati di OWA.
Autenticazione
In OWA sono disponibili diverse opzioni di autenticazione al server. Dopo l'installazione, la protezione viene configurata per impostazione predefinita sull'autenticazione basata sui moduli. È tuttavia possibile potenziare in vari modi la protezione, in modo da renderla conforme ai requisiti dell'organizzazione. L'autenticazione viene eseguita da IIS a fronte di Active Directory, per verificare se l'utente in connessione dispone dei diritti di dominio corrispondenti. Per l'accesso alla posta elettronica, è inoltre possibile utilizzare l'autenticazione di base, l'autenticazione del digest, RSA SecurID o addirittura l'accesso tramite smart card.
Il livello di protezione più alto per OWA è l'autenticazione integrata di Windows, che combina l'utilizzo di Kerberos e NTLM. L'autenticazione integrata di Windows è obbligatoria per l'accesso a Web Part Outlook Web Access 2007, oltre che per le connessioni proxy dei server CAS tra siti Active Directory. L'utilizzo di questo tipo di autenticazione comporta un ulteriore vantaggio per gli utenti che accedono a OWA su un'intranet, poiché consente il Single Sign-On con autenticazione del client Windows, in modo che non sia necessario eseguire l'accesso a OWA quando si è già un utente trusted.
Se si utilizza l'autenticazione basata sui moduli, ovvero l'impostazione predefinita, dopo un determinato periodo di inattività si verificherà il timeout di OWA. In base alla scelta eseguita dall'utente al momento dell'accesso di computer pubblico o privato, il timeout può essere di 15 minuti (per i computer pubblici) o di un massimo di 8 ore (per un computer privato). La scelta di un computer pubblico piuttosto che privato è importante per gli utenti, perché è possibile configurare anche le altre impostazioni di protezione in base a tale scelta. È, ad esempio, possibile bloccare gli allegati per i computer pubblici oppure modificare o i timeout per l'autenticazione. l'autenticazione basata sui moduli è essenzialmente un processo in quattro fasi, come illustrato nella Figura 2.
Figura 2 Processo di autenticazione
- I client inviano la richiesta al server, non crittografata
- I server inviano in risposta un cookie crittografato ai client.
- I server continuano a scartare e creare nuove chiavi di crittografia, conservando in memoria solo le tre più recenti.
- Ai client che inviano richieste con una chiave di crittografia scaduta ancora presente in memoria viene inviato un nuovo cookie crittografato con la chiave più recente.
oppure
I client che inviano richieste con una chiave di crittografia scaduta, già scartata e dopo il periodo di timeout devono rieseguire l'accesso.
msExchQueryBaseDN è il meccanismo utilizzato per limitare alcuni utenti in modo che visualizzino solo una porzione della rubrica in OWA. msExchQueryBaseDN è presente negli oggetti utente di Active Directory e punta verso un Elenco indirizzi (AL) o un'Unità organizzativa (OU). È possibile utilizzare l'AL come Elenco indirizzi globale (GAL) per l'utente, nel qual caso all'utente verrà mostrato un GAL che comprende solo gli account utente di questa OU. È possibile impostare msExchQueryBaseDN utilizzando LDAP.
Compatibilità con le versioni precedenti
Il nucleo di Outlook Web Access in Exchange Server 2007 è il CAS e il modello del CAS è stato costruito in modo da garantire la migliore interoperabilità possibile con i server su cui vengono eseguite versioni precedenti di Exchange. Per verificare l'effettivo funzionamento, è sempre necessario distribuire o aggiornare i server CAS prima di aggiornare i server cassette postali associati.
È possibile utilizzare un server Exchange 2007 con il ruolo CAS per connettersi a cassette postali presenti su server Exchange 2000 ed Exchange 2003. RPC su HTTP ed Exchange ActiveSync® continueranno a funzionare con un aggiornamento parziale del sito. Anche OWA e WebDAV funzioneranno se si esegue l'accesso tramite le directory virtuali /exchange, /public o /exchweb. È inoltre possibile creare su Exchange Server 2007 directory virtuali OWA personalizzate per queste versioni precedenti.
ISA Server 2006: un amico in più
Outlook Web Access ha subito grandi miglioramenti in Exchange Server 2007, ma è possibile potenziarlo ulteriormente con Internet Security and Acceleration (ISA) Server 2006.
ISA Server 2006 è un gateway di protezione integrato che allo stesso tempo aiuta a proteggere il sito dalle minacce che provengono da Internet e offre un accesso remoto protetto ad applicazioni e dati. Si tratta degli stessi obiettivi di OWA, quindi l'accoppiamento dei due produce il più fantasmagorico di tutti i concetti informatici: la sinergia. Per ulteriori informazioni di carattere generale su ISA Server, visitare il sito microsoft.com/isaserver/2006 (in inglese).
ISA Server 2006 apporta una serie di vantaggi a tutti gli amministratori Exchange sempre troppo occupati. La funzione Bilanciamento del carico per pubblicazione sul Web (WPLB) , ad esempio, consente di bilanciare i carichi utilizzando i cookie HTTP. È possibile garantire l'affinità client-server anche quando l'IP del client cambia. ISA Server 2006 prevede inoltre la compressione e decompressione GZIP, consentendo di analizzare il traffico o la ripartizione del carico di lavoro da server Web. Con ISA Server 2004 era necessario scegliere: era possibile utilizzare la compressione HTTP con OWA oppure l'autenticazione basata sui moduli con ISA Server. Per fortuna ISA Server 2006 le supporta entrambe contemporaneamente.
Per di più, è possibile eseguire la conversione del collegamento OWA tramite ISA Server. Se un utente inserisce un collegamento intranet nella posta elettronica OWA, ISA Server è in grado di convertirlo in un collegamento Internet. Questa funzionalità è molto utile, ma è necessario ricordarsi di pubblicare i collegamenti intranet sullo stesso array ISA di OWA.
La caratteristica forse più importante di ISA Server 2006 è l'esecuzione della preautenticazione per migliorare la protezione della rete lungo il perimetro. Lo scopo della preautenticazione consiste nell'evitare che il traffico HTTP anomalo raggiunga i server. Se il traffico diretto verso i CAS è valido, ISA Server lo lascia rapidamente passare dal perimetro al dominio (i server perimetrali sono all'esterno del dominio dell'intranet e bloccano il traffico che non appartiene a tale dominio; i CAS non devono essere dislocati all'interno del dominio del perimetro, ma sul dominio dell'intranet in modo da poter accedere agli account utente di Active Directory).
Risoluzione dei problemi di Outlook Web Access
Outlook Web Access 2007 è dotato di nuovi strumenti per il monitoraggio e la risoluzione dei problemi. Un'attività di monitoraggio viene eseguita automaticamente sul server CAS. La connettività per ciascun server cassette postali e gli accessi a OWA vengono sottoposti a test da questa attività. I messaggi del registro eventi e i contatori delle prestazioni di Exchange Server 2007 sono molto più precisi.
L'Exchange Server Best Practices Analyzer (per ulteriori informazioni, vedere all'indirizzo microsoft.com/technet/technetmag/issues/2006/01/TuneUpExchange (in inglese)) è stato migliorato in modo che gli amministratori ricevano delle notifiche per avvisi ed errori quando OWA non è configurato in modo corretto. È inoltre possibile creare report di utilizzo di OWA dai registri IIS utilizzando lo strumento LogParser (illustrato nel numero di ottobre 2006 microsoft.com/technet/technetmag/issues/2006/10/LogParser (in inglese)).
Messaggistica unificata
Se con OWA si risponde alle esigenze dei lavoratori in continuo movimento, con la messaggistica unificata si consolidano le diverse forme di comunicazione in un'unica posizione centralizzata (da cui l'ovvio nome). In questo momento i messaggi di posta elettronica sono su Exchange Server. La comunicazione vocale invece (telefonate, messaggi vocali) è disponibile su un server di telefonia. I messaggi di posta elettronica arrivano sul desktop, mentre per ascoltare i messaggi vocali di usa il telefono. Senza nemmeno dire dei fax.
La messaggistica unificata di Exchange Server 2007 consente alle organizzazioni di concentrare la ricezione di messaggi di posta elettronica, vocali e fax in un'unica cartella Posta in arrivo, a cui gli utenti possono accedere tramite Outlook e OWA. La messaggistica unificata funziona anche nel senso contrario: gli utenti possono accedere a messaggi vocali, messaggi di posta elettronica, contatti e calendari tramite il telefoni con Outlook Voice Access.
Dal punto di vista di un amministratore di sistema, la messaggistica unificata semplifica le funzioni di messaggistica combinando le infrastrutture Exchange e telefoniche in un'unica soluzione di archiviazione, un'unica directory e un unico trasporto. Il livello di complessità si riduce quando per ciascun utente esiste una sola cassetta postale.
Ma l'aspetto più interessante è la possibilità di implementare questa soluzione con i server esistenti e, se si hanno già nozioni di Exchange Server 2007 e telefonia, la curva di apprendimento è praticamente piatta. Le funzionalità di messaggistica unificata sono integrate con Exchange: si utilizzano gli stessi modelli di protezione e cartelle Posta in arrivo. È inoltre possibile accedere a messaggi vocali e fax con OWA.
Nella Figura 3 è illustrata l'architettura della messaggistica unificata in Exchange Server 2007 con il ruolo del server Messaggistica unificata installato. Osservare con attenzione l'immagine (più avanti potrebbe esserci un quiz) prima di passare ad analizzare nel dettaglio l'architettura della messaggistica unificata.
Figura 3** Con la messaggistica unificata si centralizzano le comunicazioni di posta elettronica, fax e vocali **(Fare clic sull'immagine per ingrandirla)
Quando si configura la messaggistica unificata in una grande azienda, è necessario tenere conto di molti elementi. In Exchange Server sono contenuti degli oggetti che rappresentano l'hardware della telefonia. È possibile definire le relazioni tra questi oggetti all'interno dell'ambiente Exchange Server. Gli oggetti di sistema della messaggistica unificata di Exchange Server comprendono Server di messaggistica unificata, Dial plan di messaggistica unificata, Gateway IP di messaggistica unificata e Gruppo di risposta di messaggistica unificata, oltre a Criteri di messaggistica unificata e Operatore automatico di messaggistica unificata. Di seguito è riportata una breve descrizione delle funzionalità di ciascuno di questi oggetti.
L'oggetto Server di messaggistica unificata viene creato in Active Directory quando si installa il ruolo del server Messaggistica unificata e consente a un amministratore di controllare le impostazioni di una distribuzione della messaggistica unificata di Exchange Server 2007. Dial plan di messaggistica unificata è l'unità amministrativa di base all'interno della messaggistica unificata e rappresenta l'utilizzo degli interni. Tutti gli utenti compresi in un dial plan possono raggiungere tutti gli altri utenti selezionando gli interni corrispondenti. Se si collegano più sedi, ciascuna disporrà di un proprio Dial plan.
L'oggetto Gateway IP di messaggistica unificata rappresenta un gateway VoIP (Voice over Internet Protocol) fisico oppure un PBX (Private Brach Exchange) IP con abilitazione SIP (Session Initiation Protocol). Un server di messaggistica unificata può ricevere chiamate da un dispositivo gateway IP/VoIP. Un Gruppo di risposta di messaggistica unificata collega un gateway IP a un dial plan di messaggistica unificata. Dopo la configurazione di un gruppo di risposta sul PBX, in Active Directory viene creato un Gruppo di risposta di messaggistica unificata che lo rappresenta. È possibile configurare il gruppo di risposta in modo da garantire il bilanciamento del carico sui gateway IP. I gateway garantiscono, a propria volta, il bilanciamento del carico associando un singolo Gruppo di risposta di messaggistica unificata a più gateway. I Criteri di messaggistica unificata sono analoghi alle classi di servizio dei messaggi vocali e comprendono un dial plan e delle proprietà che impostano i criteri operativi per utenti e gruppi.
È possibile associare l'Operatore automatico di messaggistica unificata a un singolo dial plan di messaggistica unificata. È possibile applicare delle personalizzazioni per eseguire alcune attività, ad esempio richieste di registrazione e definizione di attività per giorni e orari diversi. È possibile definire l'ambito degli operatori automatici utilizzando gli elenchi di indirizzi.
Nella Figura 4 è illustrata l'interazione tra i sei oggetti di messaggistica unificata.
Figura 4** Interazione tra gli oggetti di telefonia di messaggistica unificata **(Fare clic sull'immagine per ingrandirla)
Configurazione
Dopo aver creato una cassetta postale di Exchange Server 2007 per l'utente, l'amministratore deve attivarla per la messaggistica unificata. A tal fine è necessario associare la cassetta postale a un criterio di messaggistica unificata e a un numero di interno, entrambi all'interno del dial plan. È inoltre necessario configurare il PBX in modo che la chiamata alla messaggistica unificata venga instradata verso un RNA (Ring, No Answer, squillo senza risposta). La chiamata viene prima inoltrata dal PBX all'interno dell'utente. In caso di RNA la chiamata viene instradata al gateway VoIP e, infine, al server di messaggistica unificata.
La messaggistica unificata è scalabile. È possibile aggiungere tutti i canali PBX a commutazione di circuito e server di messaggistica unificata necessari per ottenere la capacità desiderata. Quando si utilizzano i gateway VoIP, le chiamate su IP vengono instradate alla messaggistica unificata di Exchange. Poiché questa per molte aziende è una funzionalità del tutto nuova, sarà necessario verificare con un ciclo completo di analisi che sulla rete IP utilizzata la larghezza di banda sia sufficiente a gestire sia voce che dati.
Un server di messaggistica unificata Exchange Server 2007 tipico è in grado di gestire tra 50 e 200 chiamate IP contemporanee e fino a un massimo di 200 chiamate in arrivo tra vocali e fax (anche se l'impostazione predefinita è limitata a 100). È possibile creare ulteriori server di messaggistica unificata quando è necessaria una capacità maggiore oppure per migliorare la tolleranza di errore.
Conclusione
Questo è quanto: In Exchange Server 2007 sono disponibili due funzionalità, Outlook Web Access e messaggistica unificata, che utilizzati in combinazione offrono grandi vantaggi per un'organizzazione. Outlook Web Access consente di accedere in modalità protetta alla posta elettronica da qualsiasi luogo, mentre la messaggistica unificata consente agli utenti di accedere tramite la propria cassetta postale Exchange 2007 a tutti i messaggi di posta elettronica, vocali e fax e agli altri dati della cassetta.
Joshua Trupin è Executive Editor di MSDN Magazine e TechNet Magazine. Ha scritto molti articoli per MSJ, MIND, MSDN Magazine e TechNet Magazine, oltre a un libro, Hoop Stats: The Basketball Abstract (in inglese).
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.