Содержание
Сервер мобильных устройств Exchange ActiveSync
Сервер мобильных устройств Exchange ActiveSync позволяет управлять мобильными устройствами, которые подключаются к Серверу администрирования по протоколу Exchange ActiveSync (EAS-устройствами).
Способы развертывания Сервера мобильных устройств Exchange ActiveSync
Если в организации развернуто несколько серверов Microsoft Exchange с ролью клиентского доступа, объединенных в массив (Client Access Server Array), то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на каждый сервер в массиве. В мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Режим кластера. В этом случае совокупность экземпляров Сервера мобильных устройств Exchange ActiveSync, установленных на серверы массива, будет называться кластером Серверов мобильных устройств Exchange ActiveSync.
Если в организации не развернут массив серверов Microsoft Exchange с ролью клиентского доступа, то Сервер мобильных устройств Exchange ActiveSync следует устанавливать на сервер Microsoft Exchange, имеющий роль Client Access. При этом в мастере установки Сервера мобильных устройств Exchange ActiveSync необходимо выбрать Обычный режим.
Вместе с Сервером мобильных устройств Exchange ActiveSync на устройство необходимо установить Агент администрирования, с помощью которого осуществляется интеграция Сервера с Kaspersky Security Center.
По умолчанию область проверки Сервера мобильных устройств Exchange ActiveSync – это текущий домен Active Directory, в котором он установлен. В случае развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2010–2013 имеется возможность расширить область сканирования на весь лес доменов, см. раздел Настройка области проверки. Запрашиваемая при проверке информация включает в себя учетные записи пользователей сервера Microsoft Exchange, политики Exchange ActiveSync и мобильные устройства пользователей, подключенные к серверу Microsoft Exchange по протоколу Exchange ActiveSync.
В пределах одного домена недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync, работающих в Обычный режим и управляемых одним и тем же Сервером администрирования. В пределах одного леса доменов Active Directory также недопустима установка нескольких экземпляров Сервера мобильных устройств Exchange ActiveSync (или нескольких кластеров Сервера мобильных устройств Exchange ActiveSync), работающих в Обычный режим, с расширенной областью проверки на весь лес доменов и подключенных к одному и тому же Серверу администрирования.
Необходимые права для развертывания Сервера мобильных устройств Exchange ActiveSync
Для развертывания Сервера мобильных устройств Exchange ActiveSync на серверах Microsoft Exchange 2010–2013 требуются права доменного администратора и роль Organization Management. Для развертывания Сервера мобильных устройств Exchange ActiveSync на сервере Microsoft Exchange 2007 требуются права доменного администратора и членство в группе безопасности Exchange Organization Administrators.
Учетная запись для работы службы Exchange ActiveSync
В процессе установки Сервера мобильных устройств Exchange ActiveSync в Active Directory автоматически создается учетная запись:
- на сервере Microsoft Exchange 2010–2013 – учетная запись KLMDM4ExchAdmin***** с ролью KLMDM Role Group;
- на сервере Microsoft Exchange 2007 – учетная запись KLMDM4ExchAdmin*****, являющаяся членом группы безопасности KLMDM Secure Group.
Под этой учетной записью работает служба Сервера мобильных устройств Exchange ActiveSync.
Если вы хотите отказаться от автоматического создания учетной записи, то необходимо создать собственную учетную запись, обладающую следующими правами:
- В случае использования сервера Microsoft Exchange 2010–2013 учетная запись должна обладать ролью, для которой разрешено выполнение следующих командлетов:
- Get-CASMailbox;
- Set-CASMailbox;
- Remove-ActiveSyncDevice;
- Clear-ActiveSyncDevice;
- Get-ActiveSyncDeviceStatistics;
- Get-AcceptedDomain;
- Set-AdServerSettings;
- Get-ActiveSyncMailboxPolicy;
- New-ActiveSyncMailboxPolicy;
- Set-ActiveSyncMailboxPolicy;
- Remove-ActiveSyncMailboxPolicy.
- В случае использования сервера Microsoft Exchange 2007, для учетной записи должны быть назначены права доступа к объектам Active Directory (см. таблицу ниже).
Права доступа к объектам Active Directory
Доступ
Объект
Командлет
Полный
Ветка "CN=Mobile Mailbox Policies,CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=Mobile Mailbox Policies,CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericAllЧтение
Ветка "CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Add-ADPermission -User <Имя пользователя или группы> -Identity "CN=<Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>" -InheritanceType All -AccessRight GenericReadЧтение и запись
Свойства msExchMobileMailboxPolicyLink и msExchOmaAdminWirelessEnable для объектов в Active Directory
Add-ADPermission -User <Имя пользователя или группы> -Identity "DC=<Имя домена>" -InheritanceType All -AccessRight ReadProperty,WriteProperty -Properties msExchMobileMailboxPolicyLink, msExchOmaAdminWirelessEnableРасширенное право ms-Exch-Store-Active
Хранилища почтовых ящиков Exchange-сервера, ветка "CN=Databases,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=<
Название организации>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<Имя домена>"Get-MailboxDatabase | Add-ADPermission -User <Имя пользователя или группы> -ExtendedRights ms-Exch-Store-Admin