Server_ActiveSync heartbeat ( ISA 2004 – Exchange)

admin — Wed, 23 Mar 2011 14:18:33 +0000

Se vi ritrovare tra gli eventi del registro Application un messaggio simile a questo:

Server_ActiveSync The average of the most recent [200] heartbeat intervals used by clients is less than or equal to [540]. Make sure that your firewall configuration is set to work correctly with Exchange ActiveSync and direct push technology. Specifically, make sure that your firewall is configured so that requests to Exchange ActiveSync do not expire before they have the opportunity to be processed.

Il Firewall a cui fa riferimento Server_ActiveSync potrebbe non essere quello della macchina (Microsoft Exchange in questo caso) ma bensì il firewall ISA. In quest’ultimo caso va elevato il livello di timeout come specificato nella Knowledge base Microsoft parzialmente riporta qui sotto.

Nella struttura della console di Gestione di ISA Server fare clic sull’opzione relativa ai criteri firewall.

Nella scheda Casella degli strumenti fare clic su Oggetti di rete.

Espandere il nodo relativo ai listener Web e visualizzare le proprietà del listener Web applicabile.

Fare clic sulla scheda Preferenze, quindi scegliere Avanzate.

Modificare Timeout connessione da 120 secondi (2 minuti) a 1800 secondi (30 minuti).

Scegliere OK due volte per accettare le modifiche.

Scegliere Applica.

Cambiare password di dominio da Outlook

admin — Wed, 04 Nov 2009 14:33:54 +0000

Per cambiare la password del dominio Windows NT attraverso il client di posta di Outlook (ad esempio per una macchina non necessariamente in dominio ma che comunque accede ai servizi di posta dello stesso), attenersi alla seguente procedura:

Scegliere Opzioni dal menu Strumenti.
Nella finestra di dialogo Opzioni scegliere la scheda Altro.
Fare clic su Opzioni avanzate.
Fare clic su Moduli personalizzati.
Fare clic su Password.
Inserire le informazioni appropriate nella finestra di dialogo Cambia password di Windows.
Scegliere OK quattro volte per chiudere la finestra di dialogo Opzioni.

Exchange 2003: POP3 e IMAP4 non partono i servizi

admin — Wed, 05 Aug 2009 13:50:23 +0000

Se avete una installazione di Microsoft Exchange 2003 funzionante in cluster ed attivate i servizi (non attivi nella installazione di default) POP3 e IMAP4 potreste imbattervi in messaggi di errore che impediscono il lancio di tali protocolli. Il problema nasce durante la creazione del profilo del servizio stesso che viene indicato come un servizio vitale e quindi con priorità automatica di avvio. Questo va in conflitto con i servizi cluster che essendo lanciati dal cluster stesso tra due o più nodi sono di tipo manuale. Pertanto dovrete accedere alla maschera dei servizi di windows ( start – run – services.msc) cercare i servizi Microsoft Exchange POP3 e Microsoft Exchange IMAP4 ed accedere alle proprietà, quindi modificare l’avvio da automatico a manuale. Ora da cluster manager potete avviare il cluster group che presentava l’errore di avvio.

Proteggere Owa con un Apache proxy mod

admin — Wed, 05 Aug 2009 09:43:46 +0000

OWA (Outlook Web Access) è l’interfaccia webmail di Microsoft Exchange, il sistema di posta di casa Microsoft. Questa interfaccia che risiede nel medesimo server che offre i protocolli MAPI e l’interfacciamento ad Active Directory, gira su un server web IIS (Internet Information Server).
E’ ovvio che non è possibile esporre direttamente questo server verso Internet, sarebbe un bersaglio ambito dai malintenzionati. Per cui solitamente si usa un proxy per disaccopiare l’accesso dalla dmz alla intranet. Microsoft vende un prodotto apposito che si chiama ISA (Internet Security Access) in pratica un Proxy con velleità di Firewall, questo software però è a pagamento e non è compreso nella suite di Exchange.

Quello che vi propongo è una soluzione a costo zero usando Apache 2.0 e le mod mod_ssl e mod_proxy, spiegando passo passo come realizzare una efficace protezione di OWA.

Prima di tutto fissiamo alcune informazioni base per la spiegazione, si suppone che abbiamo Exchange e OWA perfettamente funzionanti, altresì abbiamo un server in ambiente Linux con Apache 2.x installato e funzionate.
Il server Exchange avrà come indirizzo ip 192.168.0.100 e la risoluzione dns in exchange.lan
Il server proxy-apache sarà raggiungibile da internet tramite un indirizzo pubblico a.b.c.d risolto come webmail.mydomain.com, mentre l’indirizzo interno sarà 192.168.10.50

Primo passo sarà quello di configurare le due mods per Apache, ove non presenti. Prima di tutto verifichiamo la situazione, da linux diamo il comando a2enmod -l
Dovremmo ottenere un risultato simile a:

actions alias auth_basic authn_file authz_host authz_groupfile authz_default authz_user authn_dbm autoindex cgi dir env expires include log_config mime negotiation setenvif ssl suexec userdir php5 proxy headers proxy_http proxy_ftp proxy_connect

il nostro target è quello di vedere aggiunti in questa lista ssl, proxy, proxy_http, proxy_connect e headers. Se li avete già saltate il prossimo paragrafo.

Con il comando a2enmod -q ssl aggiungeremo il modulo ssl alla lista precedente, che ricordo viene caricata all’avvio di Apache. Ripetiamo l’operazione per i moduli restanti

a2enmod -q proxy
a2enmod -q proxy_http
a2enmod -q proxy_connect
a2enmod -q headers

Riavviamo Apache ( /etc/init.d/apache2 restart ) e i moduli saranno caricati oltre che disponibili ad essere usati.
NOTA: in SuSE Linux Enterprise 10 abbiamo aggiustato anche le direttive APACHE_SERVER_FLAGS con il valore “SSL !NOSSL” presenti in \etc\sysconfig\apache2, o tramite YAST sotto il menu System -> Config Editor: Network/WWW.

Ora passiamo alla parte più complicata da spiegare, dobbiamo modificare il file di configurazione di Apache, nel caso specifico un VirtualHost, questa è la nostra modifica nel completo, più sotto spieghiamo alcuni passaggi:

DocumentRoot "/srv/www/htdocs"
ServerName webmail.mydomain.com
RequestHeader set Front-End-Https "On"
ProxyRequests Off
ProxyPreserveHost On
ServerAdmin support@mydomain.com
ErrorLog /var/log/apache2/webmailssl_error_log
TransferLog /var/log/apache2/webmailssl_access_log
CustomLog /var/log/apache2/ssl_request_log   ssl_combined

SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

SSLCertificateFile /etc/apache2/ssl.crt/owaserver.crt
SSLCertificateKeyFile /etc/apache2/ssl.key/owaserver.key

SetEnvIf User-Agent ".*MSIE.*" \
  nokeepalive ssl-unclean-shutdown \
  downgrade-1.0 force-response-1.0

ProxyPass  http://webmail.mydomain.com/exchange
ProxyPassReverse http://webmail.mydomain.com/exchange
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
SSLRequireSSL

ProxyPass http://webmail.mydomain.com/exchweb
ProxyPassReverse http://webmail.mydomain.com/exchweb
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
SSLRequireSSL

ProxyPass http://webmail.mydomain.com/public
ProxyPassReverse http://webmail.mydomain.com/public
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
SSLRequireSSL

La chiamata ProxyPreserveHost inoltra l’header originale da parte del client al server (exchange).
RequestHeader forza l’uso di https:// al posto di http:// ed è richiesto per creare un tunnel SSL in quanto OWA offre l’autenticazione solo in chiaro, per cui è meglio avere una protezione criptata quando si offrono le proprie username e password.
SSLcertifcate files (.crt e .key in formato PEM) richiedo un certificato autofirmato se non volete spendere soldi, oppure uno acquistato dalle società di sicurezza tipo Verisign.

Ora la parte più interessante:

ProxyPass  http://webmail.mydomain.com/exchange
ProxyPassReverse http://webmail.mydomain.com/exchange
SetEnv force-proxy-request-1.0 1
SetEnv proxy-nokeepalive 1
SSLRequireSSL

nell’uso di OWA occorre passare in proxy le subdomain /exchange /exchweb e /public.
Tramite SetEnv force-proxy-request-1.0 e SetEnv proxy-nokeepalive andremo a bypassare alcune problematiche di OWA con Apache, come riportato in questo estratto dalla documentazione Apache.

[Protocol Adjustments]
http://httpd.apache.org/docs/2.2/mod/mod_proxy.html

For circumstances where you have a application server which doesn’t
implement keepalives or HTTP/1.1 properly, there are 2 environment
variables which when set send a HTTP/1.0 with no keepalive. These are set
via the SetEnv directive.

Bene abbiamo quasi finito, dobbiamo solo indicare al server dove gira Apache come risolvere webmail.mydomain.com, visto che internamente girerà probabilmente su un suffisso diverso. Apriamo il file /etc/hosts ed aggiungiamo
192.168.0.100 webmail.mydomain.com

Operazione completata, riavviamo apache e le schede di rete e proviamo ad accedere dall’esterno alla nostra webmail all’indirizzo https://webmail.mydomain.com/exchange in cui dovrebbe apparire la pop-up con richiesta credenziali di Exchange (forse prima dovrete accettare il certificato se è autofirmato).

Un ultima nota, tutto quanto funziona se andiamo a puntare all’indirizzo https e con la declinazione /exchange, se invece puntate in http a webmail.mydomain.com otterrete una pagina di errore. Per redirigere in automatico la vostra utenza (e salvarvi da chiamate inutili in assistenza) potete usare questa semplice host directive da mettere nel VirtualHost in porta 80, ovviamente modificherete la chiamata RedirectMatch con i valori appropriati alla vostra situazione.

ServerAdmin support@mydomain.com
    ServerName webmail.mydomain.com
    ErrorLog /var/log/apache2/webmail.error_log
    CustomLog /var/log/apache2/webmail.access_log combined
    ServerSignature On

    RedirectMatch permanent /$ https://webmail.mydomain.com/exchange
    RedirectMatch permanent (/.*) https://webmail.mydomain.com$1

Tosolini.info » exchange

Server_ActiveSync heartbeat ( ISA 2004 – Exchange)

Cambiare password di dominio da Outlook

Exchange 2003: POP3 e IMAP4 non partono i servizi

Proteggere Owa con un Apache proxy mod