Upgrading to Exchange 2007 – Checklists Part 4

Jeg har fået opsat mine clusted mailbox servere. Næste fase er så at flytte en række test-mailboxe fra Exchange 2003 til 2007.
Det gøres med “Move Mailbox Wizard” inde fra exchange 2007 EMC’en.
 
Brugere der har outlook åben mens deres mailbox bliver flyttet, vil få nedenstående besked efter de er overført til exchange 2007:
 
Test at Exchange 2003/2007 brugere kan se hinandens free/busy information. (Jeg replikerede her OAB + dens subfolders og schedule+ free/busy).
Husk i den forbindelse kommandoen “outlook /cleanfreebusy”.
Test at Exchange 2007 brugere kan se og booke i Exchange 2003 ressource mailboxe.
Test at Exchange 2007 brugere kan tilgå public folders på Exchange 2003.
Test at Autodiscover virker internt for Exchange 2007 brugere. Dette kan man gøre på følgende måde:
While Outlook 2007 is running, hold down the CTRL key, right-click the Outlook icon in the notification area, and then select Test E-mail AutoConfiguration.
Verify that the correct e-mail address is in the box next to E-mail Address.
Clear the check boxes next to Use Guessmart and Secure Guessmart Authentication.
On the Test E-mail AutoConfiguration page, verify that the check box next to Use AutoDiscover is selected, and then click the Test button

resultatet er vist på nedenstående billede:

Jeg føler mig nu klar til at gøre min webmail (OWA + ActiveSync) tilgængelig udefra.
Her bruger jeg en ISA 2006, som reverse proxy i DMZ, der peger ind på NLB CAS serverne.
Installer her en Windows 2003 Std. + SP2 + fuld windows update + ISA 2006 + SP1.
Vælg ISA 2006 “Single Network Adapter Template”.
Import CAS SAN certifikat til ISA 2006 “Personal Cert Store”.
Sikre at “forms-based authentication” er fravalgt på CAS serverne + “Require secure channel (SSL) + 128 bit kryptering” er valgt til.
Dette skal gøres for følgende sites:
owa (Default Web Site) – Exchange – Public – Exchweb

For at brugerne kan skifte password via deres OWA, skal de valideres op mod AD med secure LDAP (port 636).
Det betyder at jeg skal generere et computer certifikat fra min interne CA til mine DC’ere. Dette sker automatisk når man opsætter sin første CA server i domænet.
Næste step, er så importere det interne Root certificate ud til ISA serveren i DMZ.
Jeg benytter herefter LDP.exe og Network Monitor 3.1 til at bekræfte sercure ldap authentication fra min ISA server. Installer de 2 tools på ISA serveren.
Start sniffer trace fra Network Monitor
Start LDP.exe og vælg connect. (TCP port 636 skal være åben fra ISA i DMZ ind til DC’erne).
 
I “frame summary” kan man se at den benytter secure LDAP.

Start herefter “ISA Firewall console” og vælg “Specify RADIUS and LDAP Servers link” under Konfiguration – Generel.
Vælg fanebladet LDAP servers og konfigurer, som vist på nedenstående billede:

Angiv * (login expression wildcard character), så brugerne kun skal indtaste deres username i stedet for “domainusername” i ISA FBA’en.

For mere info til ovenenstående se disse link:
http://blogs.technet.com/isablog/archive/2007/08/23/password-change-with-fba.aspx
http://technet.microsoft.com/en-us/library/bb684904(EXCHG.80).aspx

Jeg er nu klar til at lave en såkaldt “Web Listener”, samt tilhørende ISA Server Rules (Publish Exchange Web Client Access)
For mere info til dette se disse links:
Publishing Exchange Client Access with ISA 2006 – The Complete Solution (Part 1)
Publishing Exchange Client Access with ISA 2006 – The Complete Solution (Part 2)
Publishing Exchange Client Access with ISA 2006 – The Complete Solution (Part 3)

På Web Listener Forms fanebladet, skal man sikre sig at “Password Management er slået til.
 
For “OWA og ActiveSync” access reglerne, angiv public FQDN og intern NLB cluster IP adresse fra CAS serverne.
 
Lav en OWA folder redirect (for /exchange eller /owa), så brugerne kun skal indtaste webmail.jravn.dk i deres browser.
Test at brugerne kan skifte password via OWA.
Test at ActiveSync virker. Dette kan gøres via Microsoft Exchange Server Remote Connectivity Analyzer eller Windows Mobile 6.1 Emulator Images.

Konfiguration af Outlook Anywhere og  Autodiscover sker på følgende måde:
Kør nedenstående kommandoer for intern og ekstern URL på begge CAS serverne:

Set-WebServicesVirtualDirectory –Identity “WIN-HUB-001EWS (Default Web Site)”
-InternalURL https://webmail.win.local/EWS/Exchange.asmx
-ExternalURL https://webmail.jravn.dk/EWS/Exchange.asmx
-BasicAuthentication:$true

Set-OABVirtualDirectory -Identity “WIN-HUB-001OAB (Default Web Site)”
-InternalURL https://webmail.win.local/OAB
-ExternalURL https://webmail.jravn.dk/OAB
-RequireSSL:$true

Set-UMVirtualDirectory -Identity “WIN-HUB-001UnifiedMessaging (Default Web Site)”
-InternalURL https://webmail.win.local/UnifiedMessaging/Service.asmx
-ExternalURL https://webmail.jravn.dk/UnifiedMessaging/Service.asmx
-BasicAuthentication:$true

Enable-OutlookAnywhere -Server WIN-HUB-001 -ExternalHostname “webmail.jravn.dk” -ClientAuthenticationMethod “Basic” -SSLOffloading:$False

Opret en Outlook Anywhere access regl på ISA serveren.
Vælg properties på reglen og konfigurer som vist på nedenstående bileder:
For at autodiscover skal virke, er det vigtigt at CN name i certifikatet er sat ind under “To” fanebladet.

Under “Public Name” indsætter jeg autodiscover.jravn.dk, som jeg har oprettet i min ISP DNS.
 
Under fanebladet skal følgende site være listet.

Til sidst er det vigtigt at man indsætter “all users” under fanebladet Users. Ellers vil autodiscover fejle.

Test at Outlook Anywhere og  Autodiscover virker udefra. Jeg testede med en laptop udenfor mit domæne.


 
For mere info til Autodiscover, se dette link.
http://www.shudnow.net/2007/07/15/publishing-exchange-2007-autodisover-in-isa-2006/

Jeg er nu nået til det punkt, hvor jeg vil tilrette min ISA FBA login page. I OWA skal brugerne kun indtaste deres username.
Derfor kan det forvirrer, hvis der står “domainusername”. Jeg vil her fjerne “Domain”.
Se nedenstående links, hvordan dette udføres.
http://www.isaserver.org/tutorials/Customizing-OWA-FBA-Logon-Screen.html
http://www.isaserver.org/articles/2004custfba.html

Resultatet ses her, hvor jeg i første omgang har rettet i string.txt for “C:Program FilesMicrosoft ISA ServerCookieAuthTemplatesExchangeHTMLnlsda” og en.

Mine samlede exchange access regler på ISA serveren, ser ud som følger:

Upgrading to Exchange 2007 – Checklists Part 1
Upgrading to Exchange 2007 – Checklists Part 2
Upgrading to Exchange 2007 – Checklists Part 3

Comments are closed.