Exchange 2003 + OWA: общий календарь и почта из браузера без VPN
Клиент устал от VPN на ноутбуке командировочника - настроили OWA с SSL-сертификатом, ящики переговорок и общий календарь. Секретарь видит занятость директора из браузера, нюансы публикации наружу и резервных копий базы.
Exchange 2003 с OWA становится офисным стандартом: общий календарь и почта из браузера
Запрос от клиента звучал просто: «Хочу проверять почту из браузера, не таская с собой VPN-клиент». Директор ездит в командировки, ноутбук не всегда под рукой, а поднятый год назад VPN между офисами требует правильно настроенного клиента и нужных прав - не из любого интернет-кафе войдёшь без суеты. OWA (Outlook Web Access) в Exchange 2003 решает этот вопрос: открыл браузер, ввёл логин - и ты в почте. Задача понятная, но нюансов при публикации наружу хватает.
Что из себя представляет OWA в Exchange 2003
Если сравнивать с Exchange 2000, OWA в 2003 версии - это уже нормальный продукт. Интерфейс стал заметно ближе к полноценному Outlook: работают правила, можно создавать встречи в календаре, видны задачи и контакты. На IE - полный режим с деревом папок и предпросмотром. На Firefox - облегчённый, но тоже пригодный. Для почты из командировки хватает.
Ключевое отличие от предыдущих версий: OWA в 2003 идёт через Forms Based Authentication - это HTML-форма с вводом логина и пароля, а не NTLM-диалог браузера. Выглядит человечнее и меньше путает пользователей.
Сертификат и публикация наружу
Без SSL публиковать OWA наружу - это осознанное членовредительство. Логин и пароль в открытом виде через интернет мы не стали даже обсуждать. Нужен сертификат.
Вариантов два: купить у коммерческого центра сертификации или сделать свой внутренний CA. Если пользователи будут заходить только с корпоративных машин, где внутренний CA уже в доверенных - самодельный сертификат работает отлично. Если нужно открываться с чужих компьютеров - браузер будет показывать предупреждение, и пользователи либо пугаются, либо привыкают нажимать «продолжить», что тоже нехорошо с точки зрения безопасности. В итоге взяли коммерческий сертификат - спокойнее для всех.
Exchange 2003 предпочитает не торчать наружу напрямую. Правильная схема - ISA Server 2004 перед ним, который принимает HTTPS снаружи, делает SSL-bridging и перебрасывает запрос на Exchange по внутренней сети. Это ещё один слой фильтрации и дополнительная точка контроля. Если ISA нет - можно настроить через обычный reverse proxy на IIS или пробросить порт 443 напрямую, но это уже компромисс.
Общий календарь и переговорки
Вот здесь началось самое интересное для клиента - не техническое, а организационное.
В Exchange ресурсные ящики - это обычные почтовые ящики с именем вроде «Переговорная 1» или «Конференц-зал». К ним создаётся пользователь без права интерактивного входа, а потом настраиваются делегирование и автоответчик. Когда кто-то отправляет приглашение на встречу и добавляет переговорку как ресурс - ящик автоматически принимает или отклоняет приглашение в зависимости от занятости. Никаких бумажных журналов «кто занял комнату».
Секретарь получила делегированный доступ к календарю директора. Открывает OWA, переходит в чужой календарь - и видит занятость. Не нужно звонить, не нужно спрашивать. Когда она это увидела первый раз, реакция была примерно «ой, а так можно было?». Можно.
Общие папки в Exchange 2003 тоже живут и доступны из OWA. Клиент использовал их для раздачи шаблонов договоров и корпоративного справочника контактов. Это не SharePoint, функциональность скромная, но для небольшой компании с нормально организованным файловым сервером как дополнение работает.
Резервные копии базы
Exchange хранит всю почту в двух файлах: priv1.edb (почтовые ящики) и pub1.edb (общие папки). Просто скопировать эти файлы работающего сервера нельзя - они всегда открыты. Нужно или штатное средство NTBackup с поддержкой VSS, или специализированный агент в резервном ПО.
Что важно понять про Exchange и резервные копии: лог-файлы транзакций растут бесконечно. Обнуляются они только при полном бэкапе через штатный Exchange-aware агент. Без регулярного такого бэкапа логи рано или поздно заполнят диск. Мы видели это несколько раз у клиентов, которые «настроили бэкап» - но через обычное копирование файлов, не через Exchange API.
Схема у этого клиента: полный бэкап через NTBackup каждую ночь на NAS, суббота - на съёмный диск, который увозится. Восстановление проверяем раз в квартал на тестовой машине - это обязательно, потому что бэкап без проверки восстановления не считается бэкапом.
Мелкие нюансы, которые всплыли
Кодировка в OWA. Несколько пользователей жаловались на кракозябры в письмах, написанных в OWA. Причина - браузер отправлял форму в UTF-8, а Exchange ожидал Windows-1251. Лечится настройкой метатегов в шаблонах OWA или явной установкой кодировки на уровне IIS виртуального каталога.
Вложения в Firefox. В облегчённом режиме OWA для не-IE браузеров прикрепить файл сложнее - нет ActiveX-контрола для загрузки, только простая форма. Пользователей предупреждаем сразу, чтобы не удивлялись.
Тайм-аут сессии. Forms Based Authentication в OWA позволяет настраивать тайм-аут отдельно для «публичного» и «приватного» компьютера - пользователь выбирает сам при входе. На чужом компьютере выбираешь «публичный» - сессия короткая, закрылась сама. Это хорошо, но надо объяснить пользователям, что галочку «приватный» на чужой машине ставить не стоит.
Итог
OWA с сертификатом и нормально настроенными ресурсными ящиками - это уже не заглушка для тех, кто не дождался Outlook. Директор смотрит почту с любого браузера, секретарь видит его календарь, переговорки бронируются без бумажного журнала. Для офиса в пятьдесят человек без специфических требований к почтовому клиенту - вполне рабочая история.
Держим это в рамках сопровождения инфраструктуры - потому что Exchange умеет доставлять сюрпризы в самые неожиданные моменты, и лучше когда кто-то за этим смотрит регулярно, а не только когда что-то перестало работать.
- Два офиса на одном ШПД: VPN вместо выделенки и модемов · 22 июня 2004
- 1С на файловой шаре, и почему она тормозит к пятнице · 11 февраля 2003