Microsoft Outlook Web Access

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 20:13, 11 января 2019.
Microsoft Outlook Web Access
Outlooklogo.png
Разработчик Microsoft
Дата выпуска 31 июля 2012
Website https://www.outlook.com


Microsoft Outlook Web Access (OWA) - веб-клиент для доступа к серверу совместной работы Microsoft Exchange.

Существует в трёх модификациях:

  1. OWA Basic - использует HTML 3.2, JavaScript. Совместим с подавляющим большинством браузеров; требует обязательной поддержки фреймов.
  2. OWA Premium - использует специфичные возможности Internet Explorer 5. Позволяет переложить часть функциональности на скрипты и увеличить скорость работы (по сравнению с OWA Basic).
  3. Outlook Mobile Access (OMA) - примитивный клиент, рассчитанный на WAP-браузеры на мобильных устройствах; в настоящий момент считается (Microsoft) устаревающим.

Microsoft Outlook Web Access - стандартная технология Microsoft Exchange Server 2003, позволяющая получать доступ к почтовым ящикам и общим папкам посредством Web-браузера. Она работает со стандартными протоколами Интернета, в том числе с протоколом WebDAV (Web Distributed Authoring and Versioning).

Является устаревшей версией Outlook on the web.

Возможности Outlook Web Access

OWA предоставляет пользователям среду для доступа к хранилищу общих папок и к хранилищу почтовых ящиков с использованием браузера. С помощью OWA клиенты, базирующиеся на UNIX, Macintosh и Microsoft Windows, могут просматривать и работать с любой общей папкой, почтовым ящиком, глобальной адресной книгой (GAL) и календарем.

Outlook Web Access имеет некоторые ограничения. Перед развертыванием OWA необходимо продумать, что вам не подходит.

  • Автономная работа. Пользователь должен подключиться к серверу Exchange для просмотра информации.
  • Нет доступа к автономным папкам. Нет синхронизации локальных автономных папок с папками на сервере.

Работа с Outlook Web Access

Outlook Web Access и виртуальный HTTP -сервер по умолчанию устанавливаются автоматически одновременно с Exchange Server 2003. Как правило, чтобы разрешить пользователям доступ к почтовым ящикам и общим папкам через Интернет, достаточно открыть соответствующие порты на брандмауэре. Затем сообщите пользователям URL, который им следует вводить в адресную строку браузера. После этого пользователи смогут работать с Outlook Web Access с любого компьютера, подключенного к Интернету. [Источник 1]

Outlook Web Access рассчитан на разрешение экрана 800x600 точек и выше. Существуют два представления Outlook Web Access.

  1. Basic Experience - основной режим, предназначенный для работы со стандартными браузерами, поддерживающими стандарт HTML 3.2 и сценарии JavaScript (ECMA). Это означает, что для работы с Outlook Web Access годятся Microsoft Internet Explorer, Netscape Navigator и некоторые другие браузеры. Однако Microsoft рекомендует Internet Explorer, начиная с версии 5.0, или Netscape Navigator, начиная с версии 4.7. Оба браузера проверены на совместимость с Outlook Web Access.
  2. Rich Experience - расширенный режим, рассчитанный на работу с Internet Explorer, начиная с версии 5.0, обладает рядом существенных преимуществ. По характеристикам он близок к Microsoft Office Outlook 2003: в нем есть дерево папок, которое разрешается раскрывать и сворачивать, возможность перетаскивания элементов, а также контекстные меню, вызываемые щелчком правой кнопки. Кроме того, в нем работает поиск в папках Outlook, область предварительного просмотра, режим Two Line (две строки), предусмотрена возможность помечать сообщения как прочитанные и непрочитанные, изменять размеры HTML-фреймов, сортировать сообщения и проверять правописание, а также создавать и изменять правила обработки почты.

Примечание: В интерфейсе API для Microsoft Internet Explorer 6.0 предусмотрены расширения для Outlook Web Access. С их помощью Internet Explorer способен сжимать данные в сообщениях посредством технологии GZip, при условии что Exchange работает под управлением Microsoft Windows Server 2003. На рис. 1 иллюстрируется расширенный режим. Большинство пользователей Internet Explorer версий 5.0 и выше по умолчанию увидят именно это представление Outlook Web Access. Если технологии, необходимые для Rich Experience, недоступны или не поддерживаются браузером, действует основной режим. Если при щелчке правой кнопкой мыши появляется контекстное меню, значит, вы работаете в режиме Rich Experience.

Рисунок 1 – Расширенный режим Outlook Web Access

Помимо возможности управления входящими письмами, календарем, контактами, задачами, общими папками и правилами для почтовых ящиков, пользователи вправе задать перечисленные ниже параметры Outlook Web Access:

  • Out of Office Assistant (Заместитель) - параметр задает автоматическую отправку уведомления о том, что пользователя нет на месте, всем, кто прислал сообщения.
  • Messaging Options (Параметры обмена сообщениями) - число выводимых на страницу сообщений, подпись и шрифт сообщений.
  • Reading Pane Options (Параметры области просмотра) - при каких условиях сообщение помечается как прочитанное.
  • Spelling Options (Параметры проверки орфографии) - параметры проверки правописания.
  • E-mail Security - указывает на необходимость загрузки последней версии элемента управления S/MIME.
  • Privacy and Junk E-mail Prevention (Обеспечение конфиденциальности данных и защита от нежелательной почты) - параметры фильтрации спама, отправки уведомлений о получении писем и блокировки нежелательной информации в HTML-сообщениях.
  • Appearance (Внешний вид) - цветовая схема Outlook Web Access.
  • Date and Time Formats (Формат даты и времени) - формат отображения даты и времени, а также текущий часовой пояс.
  • Calendar Options (Параметры календаря) - начало и конец недели, начало и конец рабочего дня при работе с календарем.
  • Reminder Options (Параметры напоминания) - включение и отключение режима напоминаний при работе с календарем и планировщиком задач.
  • Contact Options (Параметры контактов) - порядок просмотра списков контактов при создании сообщения электронной почты.
  • Recover Deleted Items (Восстановить удаленные) - просмотр и восстановление сообщений, удаленных из папки Deleted Items (Удаленные). Все восстанавливаемые сообщения возвращаются обратно в папку Deleted Items (Удаленные).

Усовершенствование процесса входа и выхода из системы

Существует возможность включить новую страницу входа для OWA, которая сохраняет имя пользователя и пароль в элементе cookie, а не в браузере. Когда пользователь покидает свой сеанс OWA или бездействует в течение установленного времени, элемент cookie очищается. В любом случае пользователю нужно заново пройти аутентификацию, чтобы вновь использовать OWA. Улучшение процесса входа не включено по умолчанию. Чтобы включить страницу входа, откройте свойства виртуального сервера HTTP и отметьте опцию Enable Forms Based Authentification For Outlook Web Access (Включить аутентификацию с помощью форм для Outlook Web Access). Обратите внимание, что перед использованием этой возможности необходимо настроить протокол защищенных сокетов SSL в компоненте Microsoft Internet Information Services (IIS). [Источник 2]

Новый вход в систему имеет три особенности:

  1. Пользователи не могут случайно отметить опцию Remember My Password (Запомнить пароль).
  2. Кроме того, при выходе пользователя из системы у него не остается способов доступа к своему почтовому ящику, пока он снова не пройдет аутентификацию.
  3. В процессе входа в систему в скрытом кадре загружаются панели инструментов и рисунки OWA, помогающие пользователю осуществлять вход в систему.

В процессе входа пользователь может выбрать один из интерфейсов:

  • Rich (Расширенный);
  • Basic (Базовый).

Расширенный интерфейс включает в себя все возможности OWA. Возможности базового интерфейса ограничены, он предназначен для пользователей, подключающихся через медленное WAN-соединение, которым нужны только основные функции OWA.

Безопасность трафика клиента Outlook Web Access

Чтобы защитить передачу сообщений между Exchange 2003 OWA и клиентом, необходимо задать способ аутентификации, а также требования к шифрованию и подписыванию клиентского трафика.

Аутентификация клиента осуществляется одним из трех способов:

  1. Anonymous (Анонимная аутентификация);
  2. Basic (Базовая аутентификация);
  3. Integrated Windows (Интегрированная аутентификация Windows ).

Вариант Анонимная обеспечивает наименее безопасную схему аутентификации, предоставляя ограниченный доступ к определенным общим папкам и данным каталога. Анонимная аутентификация поддерживается всеми клиентами и является предпочти-тельным методом разрешения общего доступа к определенным общим папкам.

При Базовой аутентификации от пользователя требуется ввести имя пользователя, имя домена и пароль. Имя пользователя и пароль передаются в открытом виде между сервером и клиентом, поэтому рекомендуется использовать SSL для их шифрования.

Интегрированная аутентификация Windows (IWA) предназначена для клиентов с браузерами Internet Explorer 5 или более поздней версии. IWA используется Kerberos и обеспечивает наивысший уровень защищенности. При IWA пароль пользователя не передается по линии связи в открытом виде. Он шифруется, и даже в случае перехвата пакета злоумышленником последний не сможет узнать пароль.

Управление Outlook Web Access

Управление OWA осуществляться несколькими способами. Если требуется управлять OWA для отдельных пользователей, используется оснастка Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Чтобы включать или отключать доступ пользователей к почтовому ящику через OWA, используется вкладка Exchange Features (Возможности Exchange), показанная на рис. 2.

Рисунок 2 – Включение OWA в свойствах учетной записи пользователя

Для управления сервером OWA предназначены два средства администрирования:

  1. Exchange System Manager (ESM);
  2. Internet Services Manager (ISM).

Exchange System Manager

С помощью оснастки Exchange System Manager можно создавать новые виртуальные серверы или виртуальные каталоги, которые будут отображаться в оснастке Internet Services Manager. Для каждого виртуального сервера требуется свой собственный IP-адрес и комбинация номеров портов. При наличии нескольких пользователей с различными требованиями к аутентификации в OWA будет создано несколько виртуальных серверов.

Несколько виртуальных серверов в Exchange System Manager создаются с помощью виртуального сервера HTML. Виртуальный сервер имеет всего один параметр для настройки, поэтому не является основным объектом, в котором происходит настройка параметров безопасности OWA.

Internet Information Services

Через оснастку Internet Information Services осуществляется администрирование многих компонентов OWA. После открытия оснастки Internet Information Services и нахождения рассматриваемого сервера для про-смотра подчиненных ему объектов отобразятся виртуальные корневые каталоги, созданные Exchange при установке:

  • Exchange - указывает на почтовые ящики Exchange;
  • Public - указывает на общие папки;
  • Exadmin - указывает на веб-администрирование Exchange;
  • Outlook Mobile Access - работает с мобильными клиентами для обеспечения их доступа к своим почтовым ящикам и общим папкам;
  • Exchange Active Sync - используется для синхронизации информации с мобильными клиентами и их устройствами.

Управление каждым виртуальным каталогом осуществляется в отдельном порядке. С помощью оснастки Internet Information Services для каждого компонента Exchange устанавливаются параметры безопасности, истечения срока действия содержимого и другие настройки. При управлении этими виртуальными каталогами в IIS осуществляется управление виртуальным сервером HTML в Exchange.

Развертывание Outlook Web Access

Существует два базовых сценария развертывания:

  1. Сценарий с одним сервером;
  2. Сценарий с серверами front-end и back-end.

Сценарий с одним сервером

В сценарии с одним сервером рассматривается только один сервер Exchange. Пользователи подключаются напрямую к IIS на сервере Exchange и осуществляют доступ к своим почтовым ящикам на этом сервере.

Сценарий с серверами front-end и back-end

В случае с серверами front-end и back-end хотя бы один сервер front-end (FE) содержит протоколы Exchange в наборе серверов IIS.

На сервере back-end (BE) работает, по крайней мере, одна база данных Exchange.

Серверы FE направляют вызовы клиентов на серверы BE для предоставления доступа к их почтовым ящикам или общим папкам.

Протоколами, используемыми в таком сценарии, являются РОРЗ (Post Office Protocol версии 3), IMAP 4, NNTP и HTTP.

Как корпоративная, так и стандартная версии Exchange 2003 поддерживают сценарий с серверами front-end и back-end. Серверы FE не содержат хранилище почтовых ящиков или общих папок. Front-end-cepверы направляют клиентские запросы на back-end-серверы, на которых также работает Exchange 2003. Сервер back-end осуществляет поддержку, как минимум, одного хранилища почтовых ящиков или общих папок.

Конфигурация back-end / front-end обеспечивает несколько преимуществ:

  • Одно пространство имен. Поскольку имеется возможность использовать такие протоколы, как Network Load Balancing (NLB), не имеет значения, сколько серверов IIS размещается в кластере. Клиентам придется запомнить лишь одно имя и IP-адрес для подключения к своим почтовым ящикам через HTTP.
  • Обработка с разгрузкой. Если принято решение о применении SSL или другого типа шифрования, front-end-серверы будут осуществлять все процедуры шифрования и дешифрования, освободив от этой работы ВЕ-серверы баз данных.
  • Повышенный уровень безопасности. Существует возможность выбрать местонахождение сервера FE: внутри межсетевого экрана, вне межсетевого экрана или внутри сетевого периметра. Серверы FE можно настроить на аутентификацию пользователей перед перенаправлением их запросов на ВЕ-серверы.
  • Масштабируемость. Так как имеется возможность добавления новых серверов в кластер балансировки нагрузки FE, каждый добавляемый сервер представляет собой вспомогательную структуру управления новыми и существующими клиентскими запросов. И поскольку клиентам не нужно знать, на каком сервере BE находятся их почтовые ящики, можно переместить почтовый ящик клиента на новый сервер, и это перемещение пройдет для клиента незаметно. Данная архитектура обладает высоким уровнем масштабируемости и обеспечивает работу миллионов пользователей.

Для распределения нагрузки можно использовать стороннее программное обеспечение, а также круговую схему системы DNS.

Настройка FE-сервера Outlook Web Access

В Exchange 2003 по умолчанию не требуется дополнительная конфигурация на сервере FE, кроме включения опции Front End Server (Интерфейсный сервер). После ее включения сервер Exchange может работать как сервер FE.

Если осуществляется поддержка нескольких имен доменов или нескольких деревьев общих папок, создают дополнительные виртуальные серверы или каталоги (см. рис. 3).

Рисунок 3 – Добавление нового виртуального сервера HTTP

При своем создании новый виртуальный сервер ассоциируется с именем домена по умолчанию в организации Exchange, поэтому его нужно ассоциировать с конкретным именем домена SMTP (Simple Mail Transfer Protocol).

Межсетевые экраны и серверы FE

Следует определить топологию межсетевых экранов при планировании размещения серверов FE. Существуют три варианта размещения:

  1. Размещение сервера FE внутри сети до межсетевого экрана;
  2. За пределами межсетевого экрана;
  3. Размещение между двумя межсетевыми экранами.

Размещение сервера FE в пределах сети до межсетевого экрана

При размещении сервера FE до межсетевого экрана, сервер FE и остальная сеть отделяет от интернета один межсетевой экран.

Порты:

  • 110 для РОРЗ;
  • 143 для IМАР4;
  • 119 для NNТР;
  • 80 для HTTP.

Положительный аспект данной топологии заключается в его экономичности и обеспечении некоторого уровня безопасности для сервера FE и сети.

Недостатком данной топологии является то, что как только злоумышленник преодолеет межсетевой экран, он получит доступ в остальную сеть. Эта проблема связана не только с сервером FE. Её причиной является наличие только одного межсетевого экрана.

Размещение сервера FE за пределами межсетевого экрана

Размещение сервера FE за пределами единственного межсетевого экрана является, вероятно, наименее предпочтительным вариантом конфигурации, так как сервер FE полностью открыт, и число портов, которые необходимо открыть на межсетевом экране для обеспечения связи сервера FE с сервером BE слишком много.

Чтобы поместить межсетевой экран между серверами FE и BE, необходимо открыть следующие порты:

  • 389 и 3268 для поиска с помощью протокола LDAP на контроллере домена и сервере глобального каталога;
  • 80 для обычного трафика HTTP;
  • 53 для трафика DNS;
  • 135 и 1024+ для трафика удаленного вызова процедур (RPC);
  • 445 для трафика Netlogon;
  • 88 для трафика Kerberos.

Размещение сервера FE между двумя межсетевыми экранами

Размещение сервера FE между двумя межсетевыми экранами является предпочтительным методом реализации технологии FE/BE.

Сервер FE защищается межсетевым экраном от интернета, и на этом межсетевом экране открыты только порты для клиентского доступа. На внутреннем межсетевом экране, расположенном между серверами FE и BE, должны быть открыты порты 135, 1024+, 445 и порты.

Если сервер FE будет размещен в периметровой сети для обслуживания HTTP-запросов, то на межсетевом экране, граничащем с интернетом, следует открыть только порт 80. На межсетевом экране между серверами FE и BE следует открыть порты, о которых говорилось в предыдущем разделе, либо соответственно приведенным инструкциям внести изменения в файл Hosts и DSAccess.

Кроме того, понадобится настроить два ключа реестра. Первым из них является ключ DisableNetlogonCheck. DSAccess подключается к Active Directory для проверки свободного дискового пространства, синхронизации времени и участия в процессе репликации с использованием NetLogon через RPC. Если запретить RPC-трафик через межсетевой экран, то нужно остановить проверку NetLogon.

Ниже приведены данные ключа реестра DisableNetlogonCheck:

 
Ключ: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess
Имя значения: DisableNetlogonCheck 
Тип данных: REG_DW0RD 
Значение: 1

На серверах FE следует создать ключ реестра для предотвращения отправки службой DSAccess пинг-пакетов на контроллеры домена, и это можно сделать посредством изменения ключа LdapKeepAliveSecs.

 
Расположение ключа: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess 
Имя значения: LdapKeepAliveSecs 
Тип данных: REG_DW0RD 
Значение: 0

Пользовательские функции Outlook Web Access

С помощью интерфейса OWA пользователи могут устанавливать параметры конфигурации для следующих компонентов:

  • Помощник Out of Office Assistant;
  • Обмен сообщениями;
  • Проверка орфографии;
  • Безопасный обмен сообщениями;
  • Секретность и пресечение нежелательной почты;
  • Форматы даты и времени;
  • Календарь;
  • Оповещения;
  • Контакты;
  • Изменение пароля (если он включен на сервере);
  • Восстановление удаленных элементов.

Сегментация OWA

Сегментация OWA обеспечивает возможность выборочно включать или отключать функции OWA в пользовательском интерфейсе браузера.

Сегментация полезна в том случае, если требуется ограничить функциональность клиента из-за вопросов, связанных с обучением, либо в соответствии с другими политиками, специфичными для организации, назначать приоритет для определенных функций либо снизить потерю производительности определенных функций на сервере, в сети или на низкоскоростном WAN-соединении, через которое работает клиент. Чтобы включить на сервере сегментацию, изменяют строку реестра следующим образом:

 
Ключ: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWEB\OWA
Тип данных: REG_DWORD
Имя значения: DefaultMailboxFolderSet
Значение: варьируется

В значении ключа реестра указано "варьируется", так как вводимое значение зависит от возможностей, отображаемых в интерфейсе OWA. Для каждой отображаемой возможности необходимо просуммировать значения и ввести в реестр получившуюся величину. Значения представлены в таблице, которая взята непосредственно из файла справки Exchange 2000 (см. рис. 4).

Рисунок 4 – Значения сегментации OWA серверной части из файла справ-ки Exchange 2000

Ссылки

Источники

  1. Основные сведения об Outlook Web Access // adminbook.ru [2009-2017] URL: http://adminbook.ru/index.php?men3=3-2%2F14 (дата обращения: 08.12.2018)
  2. Поддержка Outlook Web Access // intuit.ru [2008-2018] URL: https://www.intuit.ru/studies/courses/1114/301/lecture/7499?page=1 (дата обращения: 08.12.2018)