Remote Web Workplace
Figur 17 - Remote Web Workplace (RWW)
RWW er en webside som inneholder en rekke nyttige linker til funksjoner på SBS Serveren. Den første linken gjelder OWA som er omtalt i avsnittet over. Den andre linken gjelder en webside som gjør det mulig å knytte seg opp til PCer på arbeidsplassen web hjelp av eksternt skrivebord. På denne måten kan man kjøre en PC som en terminalserver. En meget nyttig funksjon for de som ønsker å arbeide hjemme via internett. Andre funksjoner er CompanyWeb og Connection Manager. Det hele uten VPN! Internt kan webstedet nås ved http://<servernavn>/remote. Eksternt over internett kan webstedet nås ved https://<domene.no>/remote eller https://<ekstern IP>/Remote. Ved pålogging benyttes SSL og bruker må autentisere seg før tilgang. RWW er en dynamisk webside og den vil forandre innhold alt etter hvilke rettigheter og gruppe medlemskaper brukeren har. I første rekke gjelder dette linken til Server Management og server Server Performance and Usage Report bare så dette er nevnt. Medlemmer av Administrators og Power
Users kan via internett og Internett Explorer logge på serveren og utføre management oppgaver.
Figur 18 – Fra RWW kan vi logge på PCer i domenet.
Når RWW blir valgt vil CEICW kun konfigurere det etterfølgende dersom den kommer fra et avstått status. CEICW vil sende en e-post melding til alle medlemmer i SBS Mobile Users sikkerhetsgruppen og informere dem om hvordan RWW kan nås. En registry nøkkel blir også konfigurert slik at Add User Wizarden kan avgjøre om den skal sende ut en e-post for å varsle nye medlemmer av SBS Remote User sikkerhetsgruppen. Bare så dette er nevnt, publiseringen vil også omfatte den virtuelle katalogen /clienthelp.
Utover overstående vil CEICW konfigurere den virtuelle katalogen til å tillate alle IP adresser til å opprette en forbindelse, dog ikke uten autentisering.
Server performance and usage report
Figur 19 - Server performance and usage report.
I avsnittet over ble RWW beskrevet som en dynamisk webside som tilpasser seg den aktuelle brukers rettigheter. En av disse dynamiske linkene er Server Performance and Usage Report. Den denne linken og den tilhørende rapporten vil være tilgjengelig for brukere som har fått denne rettigheten delegert via Setup Monitoring Reports and Alerts.
Hvis Server performance and usage report blir valg vil CEICW vil konfigurere den virtuelle katalogen for dette webstedet til å tillate enhver IP Adresse å opprette en forbindelse, dog ikke uten autentisering.
Outlook Mobile Access
Figur 20 - Remote Web Workplace (RWW)
OMA er et websted på SBS Serveren som er optimalisert og spesialtilpasset for små skjermer som vi finner på vanlige mobiltelefoner (uten mobile 5.0) og andre håndholdte deviser med tilgang til internett. Per default så er OMA installert og tigjengelig for alle brukere av SBS Server. OMA inneholder bla Innboks, Kalender, Kontakter og Arbeidsoppgaver. Internt kan OMA nås med http://servernavn/oma. Eksternt over internett kan webstedet nås med https://mittdomene.no/oma eller https://<ekstern IP>/oma.
Hvis Outlook Mobile Access velges vil CEICW konfigurere det virtuelle directory i IIS til å tillate enhver IP Adresse å opprette en forbindelse, dog ikke uten autentisering. De virtuelle kataloger som konfigureres er /oma og /Microsoft-server-ActiveSync.
Tips:
I OMA kan brukere bytte domene passord.
Outlook via the internett
Dette er en noe misvisende tekst. Men det betyr at MS Outlook installert på en vanlig PC kan konfigureres til å hente e-post fra Exchange Server på SBS Serveren over internett uten VPN. Outlook vil kontakte Exchange over internett ved å benytte Remote Procedure Cal (RPC) over http. Dette passer i en egen artikkel og vil bli behandlet siden.
Business Web Sites (wwwroot)
Dette punkt bør man generelt sett ikke velge. Den fjerner alle IP adresse restriksjoner på Default Web Site. Alle websteder på SBS Serveren er da i prinsippet tilgjengelige for internett, i den grad enkelte websteder ikke er publisert. På den annen side henger dette også sammen med ruter/brannmur innstillingene. Hvis port 80 blir forwardet (forespørsler blir overført fra brannmur til sbs Server) ligger hele serveren åpen. Dersom man ikke gjør dette ser jeg heller ingen fare med å velge dette punktet. På sett å vis burde den ikke hvert der. Når det er sagt er det altså et websted som publiseres nærmest som en portal på vei inn til RWW. Den er tilgengelig internt men jeg ser ingen grunn til å publisere denne eksternt. Det er ikke beste praksis!
Figur 21 – Default websted for SBS Server http://<servernavn>
Tips:
Når vi velger å publisere ett eller flere websteder over Internett vil CEICW slå på compression for IIS Web service, men CEICW vil ikke flytte katalogen for komprimerte filer som per default er lokalisert på C disken. Sjekk ut artikkelen på smallbizserver.no; IIS compression på Small Business Server 2003 for mer informasjon. Hvis du har CPU kraft til overs kan det være en ide å slå på kompresjon av dynamiske websider. Det vil spare mye båndbredde. Sjekk artikkelen først. Wizarden er ikke alltid konsekvent her. Nåen ganger blir compression ikke slått på. Har i skrivende stund ikke funnet ut hvorfor. Det er derfor grunn til å sjekke opp dette etter installasjon.
Vi anser oss nå ferdig med Web Services Configuration og fortsetter med ICW for å komme videre.
Figur 22 – Velger her Create a new Web server certificate og skriver i SBS Serverens FQDN (A-record) for Web server name: portal.snuff.com. Klikker Next når jeg er ferdig.
Kommentarer er her på sin plass, i det der er flere punkter som skaper forvirring her. Web Server Certificate komponenten av CEICW vil være tilgjengelig dersom en eller flere av webstedene er valgt for publisering i Web Service Configuration, over Internett (Web Service Configuration), og dersom ett nettverskort og ruter er valgt i CEICW under Broadband Connection og Ruter Connection.
I Web Server Certificate står vi ovenfor tre valg:
Create a web server certificate
Under dette valget lager vi et selvsignert sertifikat som skal benyttes for kryptering av websteder på SBS Serveren. Når vi velger dette menypunktet må vi også supplere et domenenavn (FQDN – A-record). Dette er det navnet som skal brukes for å kalle på SBS Serveren fra internett. Eks: https://portal.snuff.com. Kommer mer inn på dette i påfølgende avsnitt.
Use a web server certificate from a trusted authority
Ved dette valget forventer Wizarden å få et eksternt sertifikat for kryptering. Dette er en lengre prosess i det et eksternt sertifikat må bestilles. Hvis du har sertifikatet klart vil dette være det korrekte sted for å legge det inn. Vi skal se nærmere på dette senere.
Do not change current Web server certificate
Dersom CEICW har hvert kjørt tidligere vil dette menyvalget være tilgjengelig. Det vil være det korrekte valget dersom vi har generert eller lest inn et sertifikat tidligere. Det er da ikke nødvendig å generere et nytt selvsignert sertifikat eller lese inn det eksterne på nytt, og vi kan hoppe over disse punktene i Wizarden.
Tips:
Figur 23 – Skjermbilde fra MMC med Certificate snappin. Her kan det ligge mange sertifikater etter hvert?
For de som har kjørt ICW mange ganger og bruket forskjellige sertifikat navndomenenavn, kan det være litt å rydde opp i. Mitt poeng er at CEICW fjerner ikke gamle sertifikater. Når CEICW kjøres gjentatte ganger med forskjellige navn osv vil det bygge seg opp en rekke sertifikater, rette og gale som det kan være en ide å rydde opp i. Når CEICW kjøres vil det derfor være riktig å velge Do not change current Web server certificate, når sertifikatet på serveren ikke skal endres! For å rydde opp id ette kan man benytte MMC og legge inn Certificates snappin for local computer. Etter det får man gå i gjennom sertifikatene og fjerne de som ikke skal være der.
Bakgrunn - SSL og Web Server Name
CEICW vil konfigurere Internett Informasjon Server (IIS) til å benytte SSL for sikker kommunikasjon mellom web klienter og IIS Server (SBS Server). Dette forhindrer at brukernavn, passord og forretningsinformasjon sendes i klar tekst over internett (og internt i nettverket). For å få dette til må et sertifikat installeres i IIS og de enkelte websteder som muliggjør kryptering med 128 bit. CEICW kan utføre SSL konfigurasjonen men kjenner ikke domenenavnet som skal benyttes. Det varierer fra installasjon til installasjon, og er i utgangspunktet unikt. Det er ikke det interne domenenavnet som skal benyttes (for eks navnet på aktive directory i SBS Serveren), men et eksternt domenenavn (A-record eller C-name) som er registrert på internett, og som peker til den eksterne nettverksadressen til SBS Serveren. Tabellen under er hentet fra en annen artikkel på smallbizserver.no; ”En plan for ekstern DNS Server”. Den viser et fullstendig oppsett for SBS Server som dekker alle relevante forhold og som uten videre kan benyttes som standard.
For ordens skyld, snuff.com må erstattes med et registrert domenenavn, IP adresser må suppleres for de to A-records i tabellen, hvor av den ene skal peke til SBS Serverens eksterne IP adresse. I vårt tilfelle vil det være 193.213.41.29. Dette er IP adressen til ruteren/brannmuren som vist i Figur 2.
|
DNS Navn |
Record type |
IP Adresse |
Kommentar |
|
snuff.com |
A Record |
IP adresse |
Statisk IP adresse (1 |
|
portal.snuff.com |
A Record |
193.213.41.29 |
Statisk IP adresse (2 |
|
snuff.com |
MX Record |
portal.snuff.com |
|
|
remote.snuff.com |
C Name |
portal.snuff.com |
|
|
vpn.snuff.com |
C Name |
portal.snuff.com |
|
|
companyweb.snuff.com |
C Name |
portal.snuff.com |
|
|
ftp.snuff.com |
C Name |
portal.snuff.com |
|
|
webdav.snuff.com |
C Name |
portal.snuff.com |
|
|
www.snuff.com |
C Name |
snuff.com |
|
Tabell 2- Dette er definitivt den planen jeg anbefaler for ekstern DNS server og som er lagt til grunn for denne artikkelen. I Figur 22 benyttes navnet portal.snuff.com i feltet for web server navn, og webstedene på SBS Server kan nås ved https://portal.snuff.com/remote. Forøvrig vil også dette gjelde ved bruk av eksternt sertifikat.
1) Den IP adressen som her skal benyttes skal være den som gjelder for webstedet til ISP server dvs der hvor webstedet hostes. Ikke SBS serverens eksterne IP adresse dersom du ikke hoster ditt eget websted! Husk i SBS modellen hoster ikke SBS boksen noe Web Sted. Dette forutsettes gjort eksternt. Du skal derfor benytte IP adressen til det eksterne Web Stedet!
2) Den IP adressen som her benyttes skal være den samme som i den eksterne IP adressen i brannmuren.
Om CEICWs konfigurasjon av IIS
Hvis vi har gjort slike valg at CEICW - Web Server Certificate valgene kommer opp (Figur 22) vil CEICW konfigurere Default Web Site til å bruke SSL og installere sertifikatet enten det er selvutstedte eller kommer fra en tredje part. Sertifikatet vil bli installert i IIS Default Web Site og CompanyWeb (SharePoint Web Site). En videre vil Default Web Site i IIS bli konfigurert til å bruke SSL over port 443, mens CompanyWeb (SharePoint Web Site) blir konfigurert til å bruke SSL over port 444. I det tilfellet at ISA Server benyttes (noe som ikke er aktuelt for et nettverskort) må også sertifikatet installeres i denne slik at ISA Server responderer på SSL forespørsler. CEICW vil også konfigurere de enkelte underliggende virtuelle directories av Default Web Site til å kreve SSL og andre ikke. Understående tabeller gir en oversikt.
|
WEBSTEDER SOM KREVER SSL (HTTPS) |
|
Beskrivelse |
Adresse |
Port |
|
Outlook Web Access |
https://<FQDN>/Exchagne
https://<FQDN>/Public |
443 |
|
Outlook via the Internet (RPC over http) |
|
443 |
|
Remote Web Workplace |
https://<FQDN>/Remote |
443 |
|
Performance and Usage Reports |
https://<FQDN>/Monitoring |
443 |
Tabell 3 - Oversikt over websteder som krever SSL.
WEBSTEDER SOM IKKE KREVER SSL (VALGFRI HTTP ELLER HTTPS) |
|
Beskrivelse |
Adresse |
Port |
|
Outlook Mobile Access |
http eller https://<FQDN>/Oma |
80 eller 443 |
|
Remote Desktop Web Connection |
http eller https://<FQDN>/Tsweb |
80 eller 443
4125 (* |
|
Windows CompanyWeb (SharePoint Services intranet site) |
http eller https://<FQDN>/Companyweb |
80 eller 443 |
|
Backup rapport (hvis NTBackup brukes) |
http eller https:// <FQDN>/Backup |
80 eller 443 |
|
Hjelpesider for sluttbruker |
http eller https:// <FQDN>/ClientHelp |
80 eller 443 |
|
SBS Server Connect Computer Wizard |
http eller https:// <FQDN>/ConnectComputer |
80 eller 443 |
|
CompanyWeb (SharePoint) |
http eller https:// CompanyWeb |
80 eller 444 |
Tabell 4 - Oversikt over websteder som ikke krever SSL, men som kan nås med SSL.
*) Dette webstedet inneholder en Aktive X kontroll som bruker port 4125 for Remote Web Workplace i det vi knytter oss til en server eller pc via Eksternt Skrivebord. Ikke bland dette med RDP 3389.
|
WEBSTEDER SOM KREVER PORT NR (http:<port nr>) |
|
Beskrivelse |
Adresse |
Port |
|
Microsoft SharePoint Administrasjon |
http://<FQDN>:4699 |
4699 |
|
SharePoint Central Administration |
http://<FQDN>:8081 |
8081 |
Tabell 5 - Oversikt over websteder som krever port nummer i tilknytning til http.
I tillegg til å konfigurere SSL vil også CEICW konfigurere Default Web Site til å bruke Forms Based Authentication, dvs et skjema for pålogging og ikke Windows default påloggingsvindu. Dette gjelder OWA og relevante linker på RWW. En videre vil CEICW modifisere “permissions” på Default Web Site, og for Monitoring Report Option vil CEICW modifisere virtual root laget av monitoring Wizard’en. For OMA vil CEICW modifisere permissions for følgende kataloger, /oma – require SSL hvis valgt, /Microsoft-Server-ActiveSync – require SSL hvis valgt, /Exchange-oma – fjerne SSL krav (webstedet vil krasje dersom SSL krevers). Dessuten vil IIS konfigureres til kun å tillate maksimum 500 samtidige forbindelser (IIS - >Web Site ->Properties -> Performance -> Web site connections).
Eksternt sertifikat
Hva nå hvis du ønsker å bruke et eksternt sertifikat for å få tredjeparts bekreftelse på at du er ankommet din SBS Server og for å få Mobile 5.0 eller høyere til å virke mot Exchange server? Hvis du ikke har sertifikatet klart anbefaler jeg deg inntill videre å benytte et selvsignert sertifikat. Når du så er klar med domenenavn og fast IP adresse kan du kjøre CEICW på nytt å legge inn sertifikatet. I tabellen under finner du en liste med anbefalte sertifikatinstanser fra Microsoft.
|
Certification Authority |
SSL Product |
Where to Buy |
Supported Versions |
|
CyberTrust |
SureServer Certificate |
www.cybertrust.com |
2003 and 5.0 |
|
Entrust.net |
Standard SSL Certificate |
www.entrust.net |
2003 and 5.0 |
|
|
Enhanced SSL Certificate |
|
2003 and 5.0 |
|
|
Premium SSL Certificate |
|
2003 and 5.0 |
|
Geotrust |
Power Server ID |
www.geotrust.com |
2003 and 5.0 |
|
GlobalSign |
ServerSign SSL Certificate |
www.globalsign.com |
2003 and 5.0 |
|
GoDaddy |
Turbo SSL |
www.godaddy.com |
5.0 w/ MSFP only |
|
|
High Assuranse SSL |
|
5.0 w/ MSFP only |
|
Thawte |
SSL Web Server Certificates |
www.thawte.com |
2003 and 5.0 |
|
|
SSL 123 Certificates |
|
2003 and 5.0 |
|
Verisign |
Secure Site SSL |
www.verisign.com |
2003 and 5.0 |
Tabell 6 – Denne tabellen lister kjente tredjeparts Secure Sockets Layer (SSL) certificates fra betrodde root certification utstedere som har root tilstedeværelse i Windows Mobile drevne deviser. Prisene varierer mellom de ulike leverandører. Denne listen ble senest oppdatert 6 mai 2006 av Microsoft.
Figur 24 – Her skal vi klikke på Server Certificate.
TIPS
For de som er på jakt etter en billig løsning anbefaler jeg GoDaddy.com som har sertifikater som passer til SBS Server også prismessig. Link: https://www.godaddy.com/gdshop/ssl/ssl.asp?isc=microsoft
Hvordan generere en sertifikat request
Figur 25 – Vi må fjerne der gamle sertifikatet før vi kan generere en request.
I denne artikkelen er det ikke naturlig å ta med en full sertifikat forespørsel fra for GoDaddy. Det fører litt for langt. Jeg vil derfor i denne artikkelen begrense med til å vise hvordan vi fjerner det selvutstedet sertifikatet og hvordan vi oppretter et sertifikat request til sertifikatleverandører. Mitt utgangspunkt er her at et selvsignert sertifikat har hver generert tidligere ved kjøring av CEICW. I det jeg antar at det er den mest relevante situasjonen.
Tips
Når du har generert en sertifikat request slutter IIS og alle websteder å virke. De vil nå være off line inntil du har fått sertifikatet fra tredje part. Hvis du velger å benytte GoDaddy er det en god ide å gå til http://norid.no eller et tilsvarende sted for å sjekke opp hvilken e-post konto som er assosiert med det aktuelle domenet. GoDaddy vil sende en e-post til den adressen for å få bekreftet at mottageren av sertifikatet er den rette. Du vil ikke kunne laste ned sertifikatet før dette er på plass. Det tar ca 1 døgn å få rettet e-post adressen.
Figur 26 – Her ser vi den informasjonen som jeg har registrert. Det taler for seg selv, så langt som Issued To.
Figur 27 – Hver velger vi nå Create a new certifikate.
Starter det hele ved å åpne Server Management panelet for så å ekspandere Advaced Management og så Internett Informasjon Services. Deretter høyreklikker vi Default Web Site og velger fanen Directory Security. Når det er gjort klikker vi på Server Certificate som vist i Figur 24. En Wizard kommer opp og vi klikker Next. Det skjermbilde som kommer er vist i Figur 25. Klikker Next på det neste skjermbildet og Finish til slutt. Vi har med dette fjernet det gamle sertifikatet og vi kan nå generere en ny sertifikat request som kan kopieres til sertifikatleverandørers webside for dette.
Vi må nå starte hele prosessen på nytt. Vi klikker på Server Certificate som vist i Figur 24, og kommer så til skjermbildet som vist i Figur 25. Denne gangen skal vi velge Create New Certificate. Ett nytt skjermbilde kommer opp etter dette og vi må velge å lagre dette til en fil for eks på C disken. Der kan filen åpnes og innholdet kan kopieres inn til sertifikat leverandørens websider. Denne requesten danner grunnlaget for sertifikatet som vi vil få. Alternativ kan det sendes til en sertifikat leverandør. Denne prosessen har jeg selv ikke benyttet. Men før vi kommer så langt må vi fylle inn noen verdier og felt, og det er på sin plass å kommentere disse. Jeg viser ikke disse skjermbildene men hopper til det siste og kommenterer noen felt. Det er Issued To feltet eller Common name som det vil stå i Wizarden. I mitt tilfelle er dette A-recorden i Tabell 2. SBS Serveren skal når over internett med https://portal.snuff.com. Derfor er det portal.snuff.com og ikke domenenavnet snuff.com som skal registreres i sertifikatet! Da anser vi oss ferdig med denne saken.
Tips
Sertifikat requesten som genereres kan redigere. Dvs den kan åpnes og innholdet kan kopieres. I noen tilfeller er dette nødvendig når et eksternt sertifikat skal lages. Dersom GoDaddy benyttes må dette gjøres før sertifikatet kan genereres. En videre kan det være nødvendig å registrere andre sertifikater i tilknyttning til SSL sertifikatet. Da gjelder det å følge henvisningene fra leverandøren. Hvis du benytter et GoDaddy sertifikat og Mobil 5.0 skal det legges inn flere sertifikater. Gjør et søk på smallbizserver.no blogg så finner du løsningen for dette.