Na úvod svého povídání si dovolím malé zamyšlení nad tím, co to vlastně ActiveSync je. Já myslím, že je to jeden z největších vynálezů Microsoftu, který dnes sice hojně využívají hlavně větší společnosti, to se ale časem bude víc a víc měnit… a tak, i když dnes ActiveSync známe jen ve spojitosti s Exchange Serverem, zvykejme si na myšlenku, že za chvíli bude hýbat opravdu celým mobilním světem. Určitě k tomu přispěje i prodej licence na využití ActiveSync konkurenčnímu Googlu (zatím ve stádiu beta testování).

externí autořiexterní autoři
SoftwareSoftware
13.09.2010 12:00:0013.09.2010 12:00:00

externí autoři

externí přispěvatelé magazínu softwarový QUAS

ALSO Czech Republic s.r.o.
+420 222 512 201
+420 603 442 434
daquas@daquas.cz
Anny Letenské 7, Praha 2

ActiveSync z pohledu Exchange Serveru

Na úvod svého povídání si dovolím malé zamyšlení nad tím, co to vlastně ActiveSync je. Já myslím, že je to jeden z největších vynálezů Microsoftu, který dnes sice hojně využívají hlavně větší společnosti, to se ale časem bude víc a víc měnit… a tak, i když dnes ActiveSync známe jen ve spojitosti s Exchange Serverem, zvykejme si na myšlenku, že za chvíli bude hýbat opravdu celým mobilním světem. Určitě k tomu přispěje i prodej licence na využití ActiveSync konkurenčnímu Googlu (zatím ve stádiu beta testování).

ActiveSync je, zjednodušeně řečeno, synchronizační protokol, který umožňuje něco s něčím synchronizovat. V našem případě je to něco mobilní klient (telefon, PDA, atd.) a to něčím je Microsoft Exchange Server. A nemusí se jednat jen o synchronizaci dat, synchronizovat se mohou i politiky, tedy nastavení toho, jak se má klient chovat. Dříve ActiveSync fungoval jen pomocí připojení fyzického kabelu k PC, časem přibylo IrDA, Bluetooth, WiFi a nakonec přišlo to nejdůležitější – Direct Push. Možnost synchronizace skrze mobilní datové sítě – GPRS, 3G a další. V tu chvíli dostáváme do ruky cosi, co už na první pohled ohromí – změna na straně serveru se během několika okamžiků projeví i u klienta. A to je věc, na kterou se sice velmi jednoduše zvyká, ale bez které se následně skoro nedá žít. A opravdu nepřeháním… když máme ve firmě nějakou oslavu, leckdy se mi stane, že najdu ve 3 hodiny ráno na baru totálně „unaveného“ kolegu, který ale aktivně pročítá e-maily, jež se mu během pitky zesynchronizovaly do mobilu :-). A to asi mluví za vše…

Operační systém/dodavatel  Podporované vlastnosti  Bezpečnostní funkce
 Microsoft Windows Mobile 6
  • Synchronizace e-mailů, kalendáře a kontaktů
  • Direct Push
  • Podpora HTML u zpráv
  • Rozšířený pohled na kalendář
  • Podrobné informace při zpracování schůzek
  • Nastavení zprávy Mimo kancelář
  • Vyhledávání ve schránce
  • Přístup skrze Exchange k datům v SharePoint nebo na souborových serverech v LAN Podpora politik ze strany Exchange
  • Podpora politik ze strany Exchange
  • Možnost vzdáleného vymazání zařízení
  • Autentizace pomocí certifikátu
  • Podpora S/MIME
  • Možnost vynucení šifrování v samotném zařízení, nebo na datových kartách
 Apple – zabudováno přímo v iPhone
  •  Synchronizace e-mailů, kalendáře a kontaktů
  • Direct Push
  • Možnost vzdáleného vymazání zařízení
  • Vynucení hesla na zařízení a nastavení jeho komplexnosti
  • Zamčení po určené době nečinnosti
 Nokia – nutnost instalace „Mail for Exchange“
  • Synchronizace e-mailů, kalendáře a kontaktů
  • Direct Push
 

Direct Push

Technologie jménem Direct Push umožňuje automaticky synchronizovat data skrze mobilní datové sítě, což spolu s datovými tarify mobilních operátorů přineslo konečně šanci, být opravdu a neustále „in“. Mobilní klient se stává dalším plnohodnotným klientem Exchange Serveru a začíná se naplňovat dlouhodobá strategie Microsoftu – je jedno kde a jakým způsobem se schránkou pracujete, vždy byste ale měli mít aktuální data a stejné možnosti práce jako u plnohodnotného Office Outlooku.

Co k nasazení ActiveSync a Direct Push budete potřebovat:

  • Windows Mobile 5, s nainstalovaným Messaging and Security Feature Pack (MSFP), nebo Windows Mobile 6 a vyšší
  • Jakýkoli jiný telefon, který v sobě má zabudován (a zalicencován) ActiveSync

A dál to bude trochu problematičtější. Bohužel… Pokud mluvíme o verzi Exchange Server 2010, ta nabízí celou řadu možností toho, co se na klienty může synchronizovat. A mám-li nejnovější Windows Mobile 6.5, mohu využít 100 % toho, co Exchange umí. Pokud mám verze starší, je jasné, že něco z novinek oželím. Pokud ale začnu používat mobilní klienty jiných výrobců, stává se to opravdu divočinou a vy musíte od dodavatele přesně zjistit, co vámi zvolený přístroj opravdu umí. Bohužel se někdy rozdílně chovají a umí různé věci i telefony od jednoho výrobce. V tabulce vlevo uvádím hrubý přehled toho, co jednotliví výrobci nabízejí.

Možná bychom se tedy měli nejprve ptát na to, co očekáváme, že bude zařízení při synchronizaci s Exchange Serverem podporovat, a teprve potom provést výběr a nákup.

Topologie Direct Push

Jak Direct Push funguje?

Na obrázku to máme krásně znázorněno – pojďme si jednotlivé kroky popsat:

  1. Mobilní telefon po spuštění posílá HTTPS požadavek na Exchange Server – PING. Tento požadavek říká serveru, aby v následujících 15 minutách při změně v jakékoli složce, která je nakonfigurována pro synchronizaci, okamžitě upozornil klienta. Klient poté přechází do úsporného režimu. Tomuto 15minutovému režimu říkáme tlukot srdce.
  2. Pokud se během 15 minut na straně serveru nic nezmění, server odpovídá zprávou HTTP 200 OK. Mobilní klient obdrží tuto zprávu, probudí se a posílá stejný požadavek z bodu 1, kterým celý proces restartuje.
  3. Pokud se během 15 minut na straně serveru něco změní, server posílá odpověď, ve které informuje klienta o nové nebo změněné položce v konkrétní složce. Jakmile mobilní klient přijme tuto zprávu, spouští synchronizační proces dané složky. Po synchronizaci posílá opět PING z bodu 1, kterým celý proces restartuje.

Pro fungování Direct Push musíme zajistit, aby mezi klientem a Exchange Serverem bylo možné vytvořit šifrované HTTPS spojení – nic víc. Bohužel je někdy ale problém v dlouho trvajících odpovědích (standardně 15 minut), a proto v sobě Direct Push má i schopnost tento interval dynamicky měnit dle potřeby tak, aby zajistil fungování i v případě, že vaše síť, síťové prvky, nebo datová síť vašeho providera podporují jen kratší intervaly – 8, 12, nebo 15 minut? Žádný problém. Mimochodem – pokud by vám za celý měsíc nepřišel ani jeden jediný e-mail a mezi vaším klientem a serverem by tedy každých 15 minut proběhl jen a jen tlukot srdce, potom by se celkový objem přenesených dat pohyboval kolem pouhých 240 KB.

ActiveSync politiky

ActiveSync umí kromě synchronizace dat – typicky e-maily, kontakty a kalendář – synchronizovat na klienta i další, hlavně bezpečnostní nastavení. Podle mě se jedná o velmi důležitou komponentu ActiveSyncu – v poštovních schránkách se dnes nachází množství velmi citlivých dat a je zcela nezbytné zajistit, aby tato data nemohla být zneužita jen tím, že vám někdo ukradne mobilní telefon. Typickým a velmi používaným příkladem je politika hesel – tedy to, po jak dlouhé době nečinnosti se má mobilní klient zamknout, jaké heslo má po klientovi požadovat a pokud je to ze strany zařízení podporováno, tak i to, po kolika špatně zadaných heslech se má telefon zrestartovat a vrátit do továrního nastavení (tedy vlastně úplně vymazat). Pokud klient podporuje i datové úložiště pro ukládání dat (např. různé micro/mini SD karty), můžeme díky politice vynutit i šifrování těchto dat. Tím pádem ani zcizení telefonu a přendání datové karty neumožní útočníkovi získat žádná data.

ActiveSync - politiky hesel

Dalšími zajímavými volbami může být blokování WiFi, Bluetooth, nebo vestavěného fotoaparátu/videokamery. Velmi užitečná je i možnost blokování přístupu k datovým službám v momentě, kdy se klient nachází na roamingu. Zabráníte tak nepříjemnému překvapení v podobě vysokého účtu za telefon za dobu pobytu v zahraničí.

ActiveSync – další možná nastavení

Politik samozřejmě může být v Exchange Serveru víc a není proto problém na různé uživatele aplikovat různé politiky a zajistit tak potřebná nastavení pro všechny klienty.

Politiky ActiveSync

Autodiscover

Jako poslední kamínek zapadl do mozaiky různých technologií Exchange Autodiscover. Podporují jej sice jen nejnovější mobilní klienti, ale je to něco, co nám vždy chybělo. Autodiscover se na klientovi stará o to, že po zadání jeho e-mailové adresy a hesla nastaví celý přístroj tak, aby správně fungoval s Exchange Serverem. Odpadá tedy nutnost znát informace o infrastruktuře a nastavení klienta, stačí si pamatovat svůj vlastní e-mail a heslo. Autodiscover se kontroluje opakovaně a v případě rozsáhlých změn ve vaší exchangové infrastruktuře (např. při migracích) se postará o opakovanou a správnou rekonfiguraci klienta.

Nebudu se rozepisovat úplně do detailu, jak celý Autodiscover funguje, ale alespoň pro představu krátký popis toho, co se po zadání e-mailové adresy a hesla děje:

  1. Klient si z e-mailové adresy bere jméno domény – to, co je za @. Pokud je tedy moje adresa pavlis@kpcs.cz, ví, že dále bude pracovat s doménou „kpcs.cz“
  2. Skrze DNS překlad se pokouší najít autodiscover záznam. Ten může být ve třech tvarech:
    • A záznam kpcs.cz domény
    • A záznam „autodiscover“ v zóně „kpcs.cz“. Tedy „autodiscover.kpcs.cz“
    • SRV záznam „_autodiscover“
  3. Jakmile se mu podaří jednu ze tří voleb přeložit na IP adresu (tedy záznam existuje), otevírá klient HTTP spojení na Exchange Server do virtuální cesty „<jménoserveru>/autodiscover/autodiscover.xml“.
  4. Po nezbytné autentizaci klient od serveru dostává soubor XML, který webová služba na základě jeho požadavku vytvořila. Tímto souborem si klient sám službu ActiveSync nakonfiguruje.

Autodiscover

Certifikát Exchange Serveru

Blížíme se na konec povídání o ActiveSyncu… to by ale nemohlo být kompletní, kdybych nezmínil ještě jednu velmi důležitou věc. Veškerá komunikace mezi klienty a Exchange v případě použití ActiveSync probíhá přes HTTPS komunikaci. Tedy komunikaci šifrovanou SSL. K jejímu vytvoření je na straně serveru vyžadován certifikát. Ten musí splňovat následující tři kritéria:

  • Musí být platný (certifikáty jsou vydávány na konkrétní dobu, např. 1 rok)
  • Jméno uvedené v certifikátu se musí shodovat se jménem, které volá klient
  • Certifikační autorita, která certifikát vydala, musí být pro klienta důvěryhodná

Hlavně v posledním bodě narazíte na mnoho problémů. Pokud si certifikát necháte vystavit např. vaší vlastní, interní certifikační autoritou, připravte se na to, že budete muset do každého zařízení, které bude komunikovat s Exchange, nejprve naimportovat certifikát certifikační autority. Na většině přístrojů to jde, ale je to ruční a poměrně nepříjemná práce. Obzvlášť v případě, že máte ve firmě desítky, stovky nebo tisíce různých zařízení. V takovém případě bych vám raději doporučil si zakoupit certifikát od nějaké komerční a uznávané certifikační autority, která bude klientovi známa. To tedy znamená, že jako správce Exchange Serveru bych měl nejprve zvážit, jaké mobilní klienty budeme ve firmě provozovat, ověřit si u každého přístroje, které certifikační autority podporuje, a teprve potom provést nákup certifikátu u takové certifikační autority, která je pokud možno podporována všemi klienty. Budete se divit, ale i dva telefony od stejného výrobce (např. NOKIA E66 a NOKIA N73) podporují různé certifikační autority. Osobně mám vynikající zkušenosti s certifikační autoritou Thawte, je podporována skoro na všech přístrojích a její ceny za roční certifikát jsou pro české firmy přijatelné (např. Exchange4U Digitální certifikáty – ceny jsou kolem 5 000 Kč za 1 rok).

Závěr

Doufám, že se mi podařilo vás seznámit s tím, co je ActiveSync a co vám může ve spojitosti s Exchange Serverem nabídnout. Doufám, že také máte představu o tom, jak funguje Direct Push, co je to Autodiscover a k čemu slouží certifikáty při zabezpečení šifrovaného HTTPS. Doufám, že to vše vám pomůže v budoucnu při nákupu a výběru nových mobilních zařízení a zajištění klidného a kvalitního chodu této mocné technologie.

Martin Pavlis, Microsoft MVP | KPCS CZ