Optimalizované IT - portál pro IT pro komunitu

Co nás čeká nového v roce 2018 (nejen v oblasti) Microsoft Unified Communications

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 24. 3. 2018 7:32 Zobrazeno: 622
Co nás čeká nového v roce 2018 (nejen v oblasti) Microsoft Unified Communications - 4.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 4.50 (1 Vote)

Zatímco si pomalu zvykáme na to, že přísun inovací je v cloudovém světě v podstatě nepřetržitý, v on-premises prostředí se Microsoft stále drží přibližně 3letého inovačního cyklu. Poslední tři roky ale uplynuly jako voda, a tak nás čeká na konci roku vydání hned několika nových verzí rozšířených produktů, které patří do rodiny sjednocené komunikace nebo v širším smyslu do oblasti tzv. Office Servers.

Číst dál: Co nás čeká nového v roce 2018 (nejen v oblasti) Microsoft Unified Communications

Office 365 Message Encryption v2: předpoklady a možnosti nasazení (2.díl)

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 4. 3. 2018 9:13 Zobrazeno: 1823
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V předchozím článku jsme si vysvětlili přínosy OMEv2 a uživatelskou zkušenost na straně odesílatele i příjemce chráněné poštovní zprávy napříč různými poštovními systémy. Nyní se zaměříme na předpoklady využití této služby.

Licenční požadavky

Protože OMEv2 není vlastně nic jiného než praktické využití Azure Information Protection (AIP) ve světě Exchange Online, musíme používat takový plán služeb, který zahrnuje AIP i Exchange Online. Konkrétně se jedná o tyto možnosti:

  • Office 365 E3 a vyšší, Office 365 A1 a vyšší, Office 365 US Government Community G3 a vyšší.
  • Office 365 Message Encryption je ale možné snadno dokoupit jako doplněk i k nižším plánům.

Detailní informace je možné najít v Exchange Online Service Description.

Číst dál: Office 365 Message Encryption v2: předpoklady a možnosti nasazení (2.díl)

Office 365 Message Encryption v2: ochrana poštovních zpráv odkudkoliv, komukoliv a kdykoliv (1.díl)

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 25. 2. 2018 9:07 Zobrazeno: 2220
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Po dlouhé roky dostávám v souvislosti s nasazením poštovních systémů zdánlivě jednoduchý dotaz: „Jakou technologii nám doporučíte, abychom si mohli s kýmkoliv posílat zabezpečené maily?” Bohužel žádný systém typu S/MIME nebo PGP tento požadavek nedokáže dostatečně komfortně zajistit. Vždy musí zabezpečené komunikaci předcházet nepraktická výměna šifrovacích klíčů. To je ostatně také důvod, proč si navzájem stále i dnes posíláme maily standardně nechráněné. Navíc běžně jako uživatelé dnes pracujeme s poštou na mnoha různých zařízeních a pokud na nich nemáme ručně importovaný náš privátní klíč, chráněnou zprávu sice obdržíme, ale nemůžeme si ji přečíst. Zde nemohu neuvést zaznamenaný případ, kdy dokonce samotný autor standardu PGP Phillip Zimmermann žádá odesílatel o znovu zaslání chráněné zprávy v nechráněné podobě, protože ji na svém mobilním telefonu nemůže přečíst.

Číst dál: Office 365 Message Encryption v2: ochrana poštovních zpráv odkudkoliv, komukoliv a kdykoliv (1.díl)

Data Loss Prevention (DLP) ve světě Exchange: ochrana (2. díl)

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 12. 12. 2017 8:24 Zobrazeno: 2155
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

V 1. díle jsme uvedli definici toho, co technologie DLP vlastně přesně zahrnuje a odkryli jsme všechny možnosti pro detekci citlivých dat v rámci Exchange Online/On-Premises. V pokračování se zaměříme na možné akce pro ochranu těchto citlivých informací.

Číst dál: Data Loss Prevention (DLP) ve světě Exchange: ochrana (2. díl)

Data Loss Prevention (DLP) ve světě Exchange: detekce (1. díl)

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 5. 12. 2017 10:21 Zobrazeno: 2429
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Základní principy fungování DLP jsou platné pro cloudovou i on-premisou variantu našeho řešení. Jak už to ale v dnešní době bývá, konkrétní možnosti využití jdou v cloudovém světě mnohem rychleji dopředu. Ale o této nadstavbě zase někdy příště a dnes se zaměříme na společný základ.

Číst dál: Data Loss Prevention (DLP) ve světě Exchange: detekce (1. díl)

Novinky v Exchange Serveru 2016 - 2. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:10 Zobrazeno: 1977
Novinky v Exchange Serveru 2016 - 2. díl - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. V prvním díle jsme si přiblížili změny v architektuře, koncept moderní práce s přílohami, přechod na MAPI over HTTP a v tomto pokračování se společně zaměříme na přepracovaný Outlook on the web a další dílčí vylepšení.

Číst dál: Novinky v Exchange Serveru 2016 - 2. díl

Novinky v Exchange Serveru 2016 - 1. díl

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 9. 2016 21:00 Zobrazeno: 2049
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

Exchange Server 2016 ve srovnání s předchozí verzí nepřináší žádné vyložené revoluční novinky ani převratné změny, ale můžeme ho nazvat spíše citlivou a promyšlenou evolucí. Je založen na stejných principech jako Exchange Server 2013 včetně např. modelu zajištění vysoké dostupnosti DAG (Database Availability Group), ale drobných změn a vylepšení najdeme v tomto produktu velké množství, a ty nejvýznamnější si shrneme v tomto článku.

Pro pochopení směřování je také důležité vysvětlit termín často skloňovaný právě v souvislosti s Exchange Serverem 2016 – „zrozen v cloudu“. Veškerý rozvoj je opravdu v dnešní době zaměřen primárně na platformu Exchange Online, která je součástí veřejného cloudu Office 365. Inovace jsou prováděny kontinuálně na základě uživatelské zpětné vazby. Řada v tomto článku popisovaných funkcí je v rámci Exchange Online již k dispozici delší dobu a novinkou je tak pouze pro nasazení On-Premises. Jako velkou výhodu tak vnímám to, že při migraci na Exchange Server 2016 nejsme v pozici beta testerů, kteří se mohou obávat, že nové funkce budou mít své porodní bolesti. Naopak dostáváme do ruky produkt, který je provozem v cloudu perfektně odladěn na mnoha desítkách miliónů produkčních schránek.

Číst dál: Novinky v Exchange Serveru 2016 - 1. díl

Exchange Server 2016: přecházíme na Kerberos

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 27. 8. 2016 12:45 Zobrazeno: 3312
Exchange Server 2016: přecházíme na Kerberos - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Klient Microsoft Outlook ve všech podporovaných verzí umí použít pro autentizaci NTLM i Kerberos. Je nastaven tak, že se snaží domluvit s Exchange Serverem na nejlepší možné autentizaci, a tu následně použije. S překvapením ale můžeme zjistit, že ve výchozí konfiguraci to není osvědčený Kerberos, ale naopak zastaralejší forma autentizace NTLM, která je použita během připojení Outlooku k Exchange Serveru.

V tomto článku si detailně ukážeme jak přejít na doporučený způsob ověřování pomocí modernějšího protokolu Kerberos.

Proč je vlastně Kerberos lepší?

NTLM (NT Lan Manager) je historicky starší a kvalitativně a bezpečnostně horší mechanismus ve srovnání s moderním protokolem Kerberos primárně z následujících důvodů:

  • Vytváří výrazně vyšší zátěž na doménové řadiče – každá jednotlivá navazovaná relace znamená kontaktování doménového řadiče. Při opakovaném vypnutí/zapnutí Microsoft Outlook se znovu kontaktuje opakovaně doménový řadič. V porovnání s tímto je Kerberos výrazně efektivnější, protože uživatel dostane jednorázově Kerberos session tiket, který má platnost 10h a není tak nutné v jakékoliv situaci doménový řadič znovu kontaktovat.
  • Výpadky autentizace – doménové řadiče mají své limity v počtu současně prováděných NTLM autentizací a v prostředích, kde je mnoho set či více uživatelů, může dojít dočasně k vyčerpání tohoto limitu a uživatelům se místo SSO zkušenosti objevuje náhodně dialog pro zadání přihlašovacích údajů.
  • NTLM je méně bezpečné – NTLM používá slabší kryptografii, oproti tomu Kerberos je postavený primárně na použití velmi silného algoritmu AES.
  • Při použití NTLM klient předává přihlašovací údaje Exchange Serveru, který je následně předává doménovému řadiči. Naše přihlašovací údaje tak putují chráněné slabou kryptografií mezi servery v rámci sítě. V rámci Kerberos autentizace probíhá komunikace pouze mezi klientem a doménovým řadiče a směrem k Exchange Serveru se již prokazujeme pouze platným Kerberos tiketem.

Doporučení je tedy přejít na Kerberos autentizace, což je proces, který se skládá z následujících kroků.

Vytvoření ASA (Alternate service account ) účtu

Musíme si vytvořit v Active Directory pomocný účet, který bude nositelem informace o jménech SPN (Service Principal Name), která na Exchange Serveru používáme. Je možné použít uživatelský účet i počítačový účet, z bezpečnostních důvodů je doporučeno použít účet počítače. ASA účet vytvoříme pomocí následujících příkazů:

· Import-Module ActiveDirectory

· New-ADComputer -Name EXCH2016ASA -AccountPassword (Read-Host 'Enter password' -AsSecureString) -Description 'Alternate Service Account credentials for Exchange' -Enabled:$True -SamAccountName EXCH2016ASA

· Set-ADComputer EXCH2016ASA -add @{"msDS-SupportedEncryptionTypes"="28"}

Identifikace SPN

K vytvořenému ASA účtu bude nutná přiřadit správná SPN. Je vhodné si tedy předem udělat soupis všech jmen, která Outlook používá při přístupu na Exchange Server. Konkrétně se jedná o služby: Outlook Anywhere, MAPI over HTTP, Exchange Web Services, Autodiscover a Offline Address Book Obvykle to bývá:

· http/autodiscover.kpcs.cz (Autodiscover)

· http/mail.kpcs.cz (Outlook Anywhere externě, MAPI over http externě , Exchange Web Services a Offline Address Book)

· http/outlook-int.kpcs.cz (Outlook Anywhere interně, MAPI over http interně)

Poznámka: mít jiné jméno pro přístup k Outlook Anywhere a MAPI over http interně není nezbytně nutné, ale pokud chceme mít jinak nastavenou autentizaci pro interní přístup (Kerberos) a jinak pro externí přístup (NTML nebo Basic), musí umět Outlook rozlišit, kdy přistupuje interně a kdy interně. Jediné řešení je definice tohoto nového interního jména, které není přeložitelné z Internetu.

Přiřazení ASA účtu k jednotlivým Exchange serverům

· Spusťte EMS na Exchange Serveru 2016

· Změňte aktuální složku na <Exchange 2016 installation directory>\V15\Scripts, obvykle cd "C:\Program Files\Microsoft\Exchange Server\V15\Scripts"

· Spusťte .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex1.kpcs.cz -GenerateNewPasswordFor kpcs\EXCH2016ASA$

· Na každém dalším Exchange Serveru 2016 pak .\RollAlternateServiceAccountPassword.ps1 -ToSpecificServer ex2.kpcs.cz -CopyFrom ex1.kpcs.cz

1 Přířazení účtu ASA k Exchange serverům

Obrázek 1 Přiřazení účtu ASA k Exchange serverům

Přiřazení SPN k ASA účtu

K přiřazení SPN k ASA účtu doporučuji použít příkaz SetSPN, který nejenom, že nám definovaná jména zaregistruje, ale také provádí kontrolu, zda neexistuje v Active Directory duplicita, která by způsobila nefunkčnost autentizace.

· setspn -S http/autodiscover.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/mail.kpcs.cz KPCS\EXCH2016ASA$

· setspn -S http/outlook-int.kpcs.cz KPCS\EXCH2016ASA$

2 Přířazení SPN k účtu ASA

Obrázek 2 Přiřazení SPN k účtu ASA

Povolení Kerberos autentizace pro Outlook Anywhere a MAPI over HTTP

Pro Outlook Anywhere a MAPI over HTTP povolíme autentizaci pomocí Negotiate. Důsledkem bude již finální přepnutí klientů na Kerberos.

· Get-OutlookAnywhere -Server EX2016 | Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate -ExternalClientAuthentication NTLM

· Get-MapiVirtualDirectory -Server EX2016 | Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm, Negotiate

Ověření

Osobně pro ověření používám 2 základní metody:

· Na klientovi si spustím klist.exe a dívám se, zda má vydané Keberos tikety s Exchange SPN.

· Podívám se stavu připojení, které hlásí Microsoft Outlook. Ve sloupečku AUTH se nám místo NTLM objeví Nego*.

3 Kerberos - ověření klienta

Shrnutí

Exchange Server 2016 používá po instalaci a standardní konfiguraci v rámci připojení Outlooku bohužel pouze zastaralou autentizaci pomocí NTLM, která vykazuje hned celou řadu nevýhod. Přechod na Kerberos autentizaci je ale nejen plně podporovaným scénářem, ale také rozhodně doporučeným. V tom článku jsme si ukázali kompletní postup, jak tuto důležitou změnu provést.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Publikace Exchange Serveru 2016 pomocí WAP

Vytisknout E-mail

Miroslav Knotek Datum zveřejnění: 20. 7. 2016 12:49 Zobrazeno: 3526
Publikace Exchange Serveru 2016 pomocí WAP - 5.0 out of 5 based on 1 vote
1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Řada zákazníků dodnes ve svých prostředích udržuje produkt Forefront TMG, přestože již u něj vypršelo období standardní podpory a nová verze tohoto software již nebude. Důvodem je obvykle to, že není k dispozici něco, čím by bylo možné TMG plnohodnotně nasadit. TMG ale plní celou škálu různých funkcí a pokud používáte jen některé z nich, je klidně možné, že náhrada existuje. V tomto článku se zaměříme na náhradu Forefront TMG v režimu reverzní proxy pro bezpečné publikování služeb Exchange Serveru. Touto náhradou bude v našem scénáři Web Application Proxy (WAP) – role operačního systému Windows Server 2012 R2.

1 Možnosti náhrady TMG

Obrázek 1 Přehled možností náhrady TMG v jednotlivých scénářích

Začlenění WAP do publikace Exchange Serveru nám přinese tyto výhody:

· SSL bridging

· Ochrana proti DOS útoků

· Pre-autentizace (pouze pro Outlook on the web)

Předpoklady řešení

Pro nasazení je nutné splnit následující předpoklady:

· Zajistit certifikát pro ADFS

· Mít funkční ADFS řešení

· Nainstalovaná funkce WAP (Web Application Proxy)

Instalace ADFS

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2, který je součástí Active Directory domény

· Na tomto serveru si vystavíme certifikát na jméno ADFS služby např. adfs.kpcs.cz

· Přidáme A záznam do DNS, který umožní přeložit jméno adfs.kpcs.cz na IP adresu nového serveru

· Nainstalujeme roli ADFS (Active Directory Federation Services)

2 ADFS - nastavení certifikátu

Obrázek 2 ADFS - nastavení certifikátu

Přidáme v ADFS Non-Claims-Aware Relying Party Trust

 

3 ADFS - Non-Claims-Aware Relying Party Trust

Obrázek 3 ADFS - Non-Claims-Aware Relying Party Trust

A vytvoříme autorizační pravidlo, které povolí přístup všem uživatelům.

 

4 ADFS - Permit All Users

Obrázek 4 ADFS - Permit All Users

Instalace WAP

Přípravné kroky:

· Připravíme si server s operačním systémem Windows Server 2012 R2

· Na tento server naimportujeme certifikát pro ADFS i pro Exchange

· Nainstalujeme roli Remote Access – Web Application Proxy

· Povolíme Kerberos Delegation na účtu WAP serveru pro Exchange ASA

Po instalaci a zprovoznění WAP vypublikujeme Outlook on the Web a ECP s pre-autentizací pomocí AD FS

5 WAP - publikace OWA

Obrázek 5 WAP - publikace OWA

Další Exchange služby vypublikujeme již pouze jako Pass-through, neboť pre-autentizace pro další služby v současné době není prostřednictvím WAP podporovaná.

 

6 WAP - publikace všech Exchange služeb

Obrázek 6 WAP - publikace všech Exchange služeb

Konfigurace Exchange a otestování

V rámci Exchange serveru musíme mít funkční Kerberos autentizaci a je nutné na OWA a ECP zapnout Windows Integrated autentizaci. Dále již jen stačí do externí DNS přidat záznam, který bude odkazovat exmail.kpcs.cz na WAP server a můžeme otestovat. Při zadání https://exmail.kpcs.cz/owa se nám musí objevit formulář ADFS a po zadání přihlašovacích údajů jsme korektně ověření do OWA prostřednictvím WAP.

 

7 Přihlašení do OWA pomocí WAP

Obrázek 7 Přihlašení do OWA pomocí WAP

Shrnutí

Je škoda, že v tuto chvíli je možné s pre-autentizací vypublikovat z Exchange služeb pouze Outlook on the web a ECP. Ostatní Exchange služby musí být nastavené v režimu Pass-through. I tak je určitě WAP dobrá cesta, jak nahradit TMG server v roli reverzní proxy pro publikování Exchange služeb do Internetu.

Miroslav Knotek, KPCS CZ, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Skype for Business přichází

Vytisknout E-mail

Ondřej Výšek Datum zveřejnění: 15. 4. 2015 19:46 Zobrazeno: 2647
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

imageSpolečně s aktuální dubnovou dávkou aktualizací společnost Microsoft vydala aktualizaci Lync klienta - Skype for Business. Tímto se obě komunikační platformy přibližují. Serverová část prozatím není dostupná, nicméně to by se ještě do poloviny roku mělo změnit. Po tomto datu začnou být aktualizovány i služby Microsoft Office 365. Klient pro MAC a další platformy bude dostupný na přelomu roku 2016 s vydáním finální verze Office 2016 for MAC. V mezičase budou také vydány verze pro mobilní telefony. Nyní několik obrázků z prvního spuštění klienta Skype for Business, který bez problémů spolupracuje s aktuálními verzemi Office 365 a Lync server.

image

image

image

image

image

image

image

image

image

image

Strana 1 z 3

Přihlašovací formulář