Serwer w Internecie

Serwer SBS 2003 może także udostępniać usługi w Internecie. Standardowy ich zestaw zawiera: pocztę elektroniczną, wirtualne sieci prywatne, usługi terminalowe i serwer FTP. Można zdefiniować dodatkowe, ale żeby to wszystko było bezpieczne, trzeba zaprząc do pracy serwer ISA 2004.


Serwer SBS 2003 może także udostępniać usługi w Internecie. Standardowy ich zestaw zawiera: pocztę elektroniczną, wirtualne sieci prywatne, usługi terminalowe i serwer FTP. Można zdefiniować dodatkowe, ale żeby to wszystko było bezpieczne, trzeba zaprząc do pracy serwer ISA 2004.

Kreator konfiguracji standardowych usług serwera.

Kreator konfiguracji standardowych usług serwera.

Do konfiguracji usług służy specjalny kreator. Po jego uruchomieniu najpierw definiowane są ogólne klasy udostępnianych serwisów. Można wybrać e-mail (pozwoli to serwerowi Exchange odbierać pocztę elektroniczną), VPN (możliwość zdefiniowania bezpiecznego tunelu do serwera - użytkownik pracuje wówczas tak, jakby był połączony z siecią lokalną), udostępnić usługi terminalowe (używając Zdalnego pulpitu, można wówczas konfigurować serwer) i serwer FTP.

Po kliknięciu przycisku Dodaj można wskazać dodatkową usługę. Należy podać jej nazwę oraz określić, w którym porcie jest uruchomiona.

Uwaga: kreator nie pomoże zainstalować np. serwera WWW w niestandardowym porcie i trzeba to ręcznie ustawić w ISA 2004, definiując własną regułę publikacji serwera i/lub oddzielny tzw. listener.

Kolejne dwa etapy to konfiguracja poczty internetowej. Ustawia się różne opcje serwera Exchange i dodatkowe reguły w serwerze ISA lub Zaporze systemu Windows.

Jednym z etapów pracy kreatora połączenia internetowego jest skonfigurowanie poczty.

Jednym z etapów pracy kreatora połączenia internetowego jest skonfigurowanie poczty.

Najważniejsza decyzja określa model dystrybucji poczty przychodzącej. Można bezpośrednio oczekiwać na pocztę, używając standardowego portu SMTP (25) albo po ustaleniach z dostawcą usług internetowych określić, że pocztę kolejkuje zewnętrzny serwer, a Exchange co pewien czas jest informowany o tym, że ma nową pocztę i musi ją pobrać. Pierwsze rozwiązanie wymaga, aby serwer był cały czas podłączony do Internetu. Drugie pozwala, żeby np. na chwilę był wyłączany czy niedostępny.

Oczywiście standardowo serwery pocztowe ponawiają przesyłkę, gdy adres docelowy jest nieosiągalny w danym momencie, ale jak często i kiedy generują błąd NDR (e-mail nie może być dostarczony), to zależy od konfiguracji serwera wysyłającego. Jeżeli dysponujemy słabym łączem, buforowanie poczty przez dostawcę usług internetowych jest znacznie bezpieczniejsze.

Dodawanie własnej usługi.

Dodawanie własnej usługi.

Można też włączyć Microsoft Connector for POP3 Mailboxes - pozwala on z wielu skrzynek dostępnych za pośrednictwem protokołu POP3 ściągać pocztę i umieszczać ją na centralnym serwerze Exchange. To się przydaje, gdy na przykład mamy zewnętrzne skrzynki, które obsługują określeni pracownicy - wtedy wygodniej jest, żeby poczta lądowała w jednym miejscu. Na marginesie warto dodać, że zdefiniowane reguły dotyczą również poczty ściąganej przy użyciu POP3 na serwer Exchange.

Poczta może być dostarczana bezpośrednio do serwera lub pobierana z internetowych skrzynek pocztowych.

Poczta może być dostarczana bezpośrednio do serwera lub pobierana z internetowych skrzynek pocztowych.

Następnie wskazuje się, jakie elementy witryny WWW będą widoczne w Internecie. Outlook Web Access pozwala na dostęp do interfejsu przez WWW w celu obsługi skrzynek Exchange. Zdalne miejsce pracy w sieci Web to witryna dająca dostęp do intranetu pracownikom mobilnym. OMA (Outlook Mobile Access) powoduje, że udostępnione są mechanizmy synchronizacji urządzeń typu SmartPhone czy PocketPC z serwerem Exchange. Outlook przez Internet włącza mechanizm RPC over HTTP, który pozwala, żeby Outlook 2003 łączył się z serwerem Exchange protokołem RPC, tunelowanym w ruchu HTTP. Dzięki temu nie trzeba używać sieci VPN, aby synchronizować swoje skrzynki e-mailowe. Równocześnie udostępniane są standardowe protokoły POP3 czy IMAP. Można też określić, czy będzie dostępna witryna SharePoint oraz główna firmowa witryna WWW.

Aby skonfigurować bezpieczne połączenia SSL, trzeba dysponować certyfikatem serwera WWW .

Aby skonfigurować bezpieczne połączenia SSL, trzeba dysponować certyfikatem serwera WWW .

Na kolejnym etapie podawana jest publiczna nazwa serwera WWW w Internecie. Można też określić, że dla danej nazwy automatycznie będzie generowany certyfikat do bezpiecznej komunikacji przy użyciu protokołu HTTPS. W takim wypadku na serwerze zostanie uruchomiona specjalna usługa (pod adresem http ://<nazwa servera> /certsrv) zarządzająca całą infrastrukturą kluczy, a także generująca certyfikaty dla użytkowników. Należy tylko dodać tzw. root certificate do stacji roboczych, żeby "ufały" takim certyfikatom.

Serwer ISA 2004 skonfigurowany przez kreator połączenia internetowego SBS.

Serwer ISA 2004 skonfigurowany przez kreator połączenia internetowego SBS.

Posiadacze wersji SBS Premium mogą także zainstalować Internet Security and Acceleration Server 2004 - bardzo rozbudowany firewall aplikacyjny, połączony z serwerem proxy witryn internetowych. Jednak niezależnie od zainstalowania go lub nie omawiany tu kreator działa identycznie. Gdy jest zainstalowany serwer ISA, w wyniku działania kreatora powstaje zbiór reguł publikujących odpowiednie usługi.

Jeżeli zmienimy którąś z reguł o określonej nazwie, to i tak po kolejnym uruchomieniu kreatora zostanie jej przywrócona postać oryginalna, dlatego kto chce np. dodać własne reguły, musi je dopisać pod nową nazwą.

Exchange 2003 Outlook Web Access.

Exchange 2003 Outlook Web Access.

Po opublikowaniu w taki sposób mamy do dyspozycji gotową stronę startową, pozwalającą połączyć się ze zdalnym pulpitem serwera i komputerów klienckich, przeglądać zgłoszone uwagi o funkcjonowaniu sieci (jest to lista dyskusyjna Windows SharePoint Services (WSS), na której pracownicy mogą informować o problemach). Można też uzyskać dostęp do administrowania wewnętrzną witryną WSS (a także ją przeglądać) oraz analizować raporty. Jest też skrót do Outlook Web Access - części serwera Exchange udostępniającej pocztę i inne zasoby.

Do komunikacji wykorzystywany jest, poza standardowymi portami 80 i 443, także port 444 (którym przesyłane są dane zaszyfrowane w protokole HTTPS), co należy uwzględnić, jeżeli zdalny komputer łączy się zza firewalla. Używa się go głównie w celu uzyskania dostępu do Exchange 2003 OWA i niekiedy do portalu.

Współdzielony faks

Zdalny dostęp do serwera.

Zdalny dostęp do serwera.

Obecnie większość komunikacji (zwłaszcza między firmami) odbywa się przy użyciu poczty elektronicznej lub stron WWW, ale czasem trzeba wysłać faks. Częścią SBS 2003 jest usługa współdzielonego faksu. Mogą z niej korzystać wszyscy pracownicy. Faks można używać jak zwykłą drukarkę (drukując na nim dokumenty), ale można też wysłać e-mail pod specjalny adres - wtedy treść listu elektronicznego zostanie wysłana faksem. Po stronie serwera SBS dokument przeznaczony do wysłania faksem zostanie najpierw automatycznie umieszczony na odpowiedniej liście dokumentów w WSS, a potem przekazany do serwera faksów, który wyśle go, używając określonych zasad routingu (można np. podać, którym urządzeniem i z jakiego numeru będą wysyłane faksy do określonego kraju czy miasta itp). Serwer może odbierać faksy, które także zostaną umieszczone na liście dokumentów przychodzących, przesłane do określonego odbiorcy pocztą elektroniczną czy automatycznie wydrukowane. Zatem dołączając do serwera SBS odpowiedni modem lub faks, otrzymamy wygodny mechanizm do obsługi papierowych dokumentów.

Zwykła witryna internetowa

Faksy przychodzące mogą być automatycznie drukowane, rozsyłane e-mailem, zapisywane w folderze lub w bibliotece dokumentów witryny WSS.

Faksy przychodzące mogą być automatycznie drukowane, rozsyłane e-mailem, zapisywane w folderze lub w bibliotece dokumentów witryny WSS.

Czasami jednak trzeba na serwerze udostępnić witrynę. Co prawda, dokumentacja SBS zaleca używanie w tym celu konta wykupionego u dostawcy usług internetowych, ale gdy przewidujemy niewielki ruch (i jest to coś pomocniczego - np. pliki dla pracowników przydatne podczas podróży czy statyczne informacje), można wykorzystać to samo łącze internetowe, do którego podłączony jest SBS.

Kreator połączenia internetowego konfiguruje także zaporę, udostępniając zewnętrznym użytkownikom jedynie wybrane usługi.

Kreator połączenia internetowego konfiguruje także zaporę, udostępniając zewnętrznym użytkownikom jedynie wybrane usługi.

Standardowe kreatory nie pozwalają udostępnić folderu, ale można to zrobić ręcznie. Najpierw jednak warto przyjrzeć się, jak skonstruowana jest publikacja w Internecie (gdy zainstalowany jest serwer ISA). Na serwerze DNS zdefiniowany jest wpis publishing.<nazwa lokalnej domeny>. Adres IP jest taki sam, jak adres serwera w sieci lokalnej. Wszystkie reguły serwera ISA odnoszą się właśnie do tego aliasu. Na przykład reguła SBS Outlook via the Internet Web Publishing Rule, pozwalająca na dostęp RPC przez HTTP do serwera Exchange, jest zdefiniowana jako przekierowanie na publishing. PCWK.local, do folderu \RPC\* (karta Path w oknie właściwości Server Publishing Rule). Fizycznie ten folder znajduje się w domyślnej witrynie sieci WWW Windows Server 2003, która jest dostępna pod adresem localhost (czyli 127.0.0.1) oraz pod adresem IP przypisanym karcie sieciowej dołączonej do sieci lokalnej. Reguła publikacji serwera WWW ISA określa, że przychodzący ruch jest przechwytywany przez tzw. listener pod adresem publicznym (czyli przypisanym do karty sieciowej podłączonej do Internetu lub urządzenia dostępowego) - domyślnie HTTP (port 80) i HTTPS (port 443). W ten sposób cały ruch przechodzi przez firewall i może być dodatkowo monitorowany czy rejestrowany.

Tworzenie katalogu wirtualnego na serwerze Internet Information Services.

Tworzenie katalogu wirtualnego na serwerze Internet Information Services.

Dlatego aby opublikować własną witrynę, najwygodniej jest założyć folder w strukturze katalogów domyślnej witryny i odpowiednio go udostępnić. Załóżmy, że musimy udostępnić raport naszym partnerom, którzy np. chcą mieć dostęp do cennika. Nie przyznamy im dostępu do Share-Point, bo interesuje ich tylko ostateczna postać oferty, a nie dyskusja czy praca nad dokumentami, a poza tym wygodna praca zdalna w witrynie SharePoint wymaga - ze względu na rozbudowany interfejs użytkownika - szybkiego połączenia internetowego, bo na przykład na prostym (i wolnym) DSL-u, transmisja związana z przesyłaniem bogatych kontrolek WSS wymaga zwykle zbyt szerokiego pasma.

Co kryje się za companyweb.

Co kryje się za companyweb.

Należy najpierw utworzyć folder \Inetpub\wwwroot\RaportDlaKontrahentow. W nim będą umieszczone pliki dla partnerów. Następnie trzeba w Menedżerze IIS wybrać Nowy | Katalog wirtualny, podać nazwę (RaportDlaKontrahentow) i ścieżkę. W oknie określania uprawnień można wybrać tylko odczyt.

Teraz można, np. używając FrontPage (lub np. zapisu w postaci HTML w Excelu) zapisać w tym folderze plik, nadać mu nazwę default.htm (co spowoduje, że będzie domyślnie otwierany, gdy ktoś wejdzie do danego katalogu wirtualnego).

Wpis w DNS pozwala działać aliasowi companyweb.

Wpis w DNS pozwala działać aliasowi companyweb.

Na marginesie warto dodać, że folder można udostępnić przez WWW także z poziomu Eksploratora Windows. Odpowiednie opcje ustawia się na zakładce Udostępnianie w sieci Web we właściwościach folderu. Należy przy tym pamiętać, że oprócz opublikowania wskazanego folderu jako katalogu wirtualnego witryny WWW, trzeba jeszcze ręcznie ustawić prawa dostępu serwera IIS do tego folderu. Jeżeli folder założymy w katalogu wwwroot, to IIS automatycznie będzie miał do niego dostęp.

Ustawienie autoryzacji dostępu do folderu IIS.

Ustawienie autoryzacji dostępu do folderu IIS.

Taki folder jest dostępny dla każdego, kto wejdzie pod podany adres URL (np. http ://firma.com.pl/RaportDlaKontrahentow/). Jeżeli chcemy ograniczyć dostęp, to należy we właściwościach danego folderu wirtualnego skorzystać z opcji Metody uwierzytelniania i wyłączyć dostęp anonimowy, a np. pozostawić Zintegrowane uwierzytelnianie systemu Windows (wtedy klient musi mieć konto w domenie SBS, a także posługiwać się w miarę nową wersją przeglądarki IE). Uwaga! Jeżeli decydujemy się np. na uwierzytelnianie szyfrowane (tzw. diggest) czy podstawowe, i tak domeną autoryzacyjną pozostanie domena Windows, ale dodatkowo hasło będzie przesyłane niemal otwartym tekstem. Dlatego należy wymagać, żeby klient łączył się za pośrednictwem SSL (trzeba kliknąć Bezpieczna komunikacja | Edytuj i zaznaczyć Wymagaj bezpiecznego kanału SSL).

Warto też zobaczyć, w jaki sposób opublikowana jest standardowa witryna companyweb - z uwagi na wymagania WSS proces jest bardziej skomplikowany. Ponieważ witryna companyweb jest dostępna pod tym samym adresem IP, co domyślna witryna WWW, to żeby zdecydować, którą stronę należy wyświetlić, serwer potrzebuje dodatkowych informacji. Odczytuje w tym celu zawartość specjalnego pola (tzw. nagłówka hosta) w żądaniu HTTP i sprawdza pod jaki adres domenowy (a nie tylko adres IP) zostało wysłane żądanie. O dostępność witryny dla zdalnych klientów dbają specjalne reguły w ISA, które odpowiednio przekształcają to pole, oraz dodatkowy program pośredniczący zainstalowany w domyślnej witrynie (uruchamiany, gdy użytkownik klika Zdalne miejsce pracy w sieci Web).